使用PowerShell，我可以找到何时创建用户帐户？

Question

这是一个简单的问题。我知道信息在某处。我一直在用Powershell敲打3天，然后靠近。说实话，我太忙了。

这是情况。人员进入并在本地机器上创建一个帐户（Windows 7）。如何查找帐户何时创建。我了解在配置文件中查找NTUSER.DATE日期，但这不起作用。我得到的信息都是在csv中传播出来的，并且没有简单的方法让它可读。

Get-Item -force "C:\Users\*\ntuser.dat" | 
Where {((Get-Date)-$_.lastwritetime).days } | 
Out-File c:\profiles.csv 

我可以看到安全日志中的信息，并且我可以提取所有4720个事件。但是，这也不一致，特别是如果几个月前某些流氓（像我一样）清除了事件日志。

Get-EventLog -LogName Security | Where-Object { $_.EventID -eq 4720 } | 
EXPORT-CSV C:\NewStaff.csv 

但是，这并不真正让我得到我所需要的。我需要的只是用户名和账户创建日期。我知道这并不那么简单（尽管它应该是LOL）。这是一次性工作，我非常喜欢Powershell（尽管过去几天我学到了很多东西）。

无论如何，如果有人不介意扔我骨头，我会很感激。 感谢您的期待。

Answer 1

你确实非常接近。你现在需要的只是格式化。例如：

Get-EventLog -LogName "Security" | Where-Object { $_.EventID -eq 4720 } ` 
    | Select-Object -Property ` 
     @{Label="LogonName";Expression={$_.ReplacementStrings[0]}}, ` 
     @{Label="CreationTime";Expression={$_.TimeGenerated}} ` 
    | Export-Csv C:\NewStaff.csv -NoTypeInformation