Bonjour,
 
J'ai deux questions "toute bête".
Je cherche :
 
- La date de création d'un compte utilisateur local.
- La date de création d'un profil utilisateur dans C:\Users. (qui correspond à la première fois où l'on se connecte avec ce profil)
 
Comment faire ?  

je m'auto réponds :
 
La date de création d'un profil utilisateur dans C:\Users. (qui correspond à la première fois où l'on se connecte avec ce profil) :
==> dir /tc C:\Users

T as aussi clic droit propriété et t asla date de création me semble non ?

oui

Je cherche aussi la dernière fois où le profil a été utilisé / ouvert.
C'est ntuser.dat ou ntuser.dat.log ?
j'ai un doute

Même chose que plus haut dans les propriété tu as last logon je crois

Édit : je confirme
http://m.windowsitpro.com/security [...] ser-logged

Ce n'est pas ça que je veux. On a des utilisateurs qui se connectent sur plusieurs PC du domaine et ce que je veux, c'est sur un profil sur un PC spécifique, la date de last logon. Du coup, pas possible de regarder sur les propriétés AD.
Hormis le journal d'évènements sécurité, je vois pas où trouver l'information.
J'ai vérifié et les fichiers NTUSER.XXX ne sont pas fiables...
 
Edit : j'ai également fait le test avec le last logon de WMI :
 
Select * from Win32_NetworkLoginProfile
Mais pareil, il se base sur l'AD...
 
Select * from Win32_LogonSession
Uniquement les utilisateurs actuellement connectés

Sinon via cet outil qui fait de la ligne de commande :
http://www.nirsoft.net/utils/windo [...] _view.html
 
Edit : le problème est qu'il se base sur le journal d'évènements et qui ne permet pas d'avoir un historique complet...

Au pire remonte ça via un logon script

Voui bonne idée.
Sinon, je suis curieux de savoir comment le paramètre /Uel:XXX du loadstate.exe  de l'USMT fonctionne car il ne doit pas se baser sur WMI ou sur l'AD ou sur le security event.
 
Je vais faire quelques tests
 
Edit : c'est nul xD
 
https://blogs.technet.microsoft.com [...] -profiles/
 
/UEL (User Exclude based on last Logon) migrates profiles based on “newer than” rules; either a date or a number of days. Meaning that if a user’s NTUSER.DAT has been modified within the time or date, that profile will be included in migration. /UEL always supersedes /UE.
 

J'ai envie de dire de la même façon que :  
http://social.technet.microsoft.co [...] olicy.aspx
 
J'aurais tendance à dire que c'est basé sur la date de modification du ntuser.dat
 
Qd tu demandes à windows de lister la liste des profils (dans Système, options avancées, user profiles), la colonne modified a l'air de correspondre à la date du ntuser.dat (testé sur 2 PC mais bon c'est pas super représentatif )

Ah bah on est d'accord

Ouais mais c'est pas fiable le ntuser.dat
Notamment quand tu as des antivirus, des programmes tiers qui font des modifications dans le registre. Ta date est faussée.
 
Mais j'ai trouvé
C:\Users\nom_user\AppData\Local\Microsoft\Windows\Explorer\ExplorerStartupLog_RunOnce.etl
 
La date de modification correspond à la date de connexion du profil.
Je test ça de façon un peu plus "massive" avec vérification dans le security event mais ça semble correspondre
 
Edit : Sur certains profils, le fichier n'existe pas...(notamment les profils "runas" ), y'a plus qu'à se rabattre sur ntuser.dat