最后三个午夜我在日志中得到了事件ID 539 …关于我自己的帐户:
Event Type: Failure Audit Event Source: Security Event Category: logon/logoff Event ID: 539 Date: 2010-04-26 Time: 12:00:20 AM User: NT AUTHORITY\SYstem Computer: SERVERNAME Description: logon Failure: Reason: Account locked out User Name: MyUser Domain: MYDOMAIN logon Type: 3 logon Process: NtLmssp Authentication Package: NTLM Workstation Name: SERVERNAME Caller User Name: - Caller Domain: - Caller logon ID: - Caller Process ID: - Transited Services: - Source Network Address: - Source Port: -
它总是在午夜的半分钟之内.之前没有登录尝试.在它之后(在同一秒内)有一个成功的审计条目:
logon attempt using explicit credentials: Logged on user: User Name: SERVERNAME$ Domain: MYDOMAIN logon ID: (0x0,0x3E7) logon GUID: - User whose credentials were used: Target User Name: MyUser Target Domain: MYDOMAIN Target logon GUID: - Target Server Name: servername.mydomain.lan Target Server Info: servername.mydomain.lan Caller Process ID: 2724 Source Network Address: - Source Port: -
所有这三个进程ID都相同,所以我查了一下,现在至少它映射到TCP / IP Services(Microsoft).
我不相信我在周五更改了任何政策或任何内容.我该怎么解释这个?
您是否有在您的帐户下运行的计划任务,该计划在午夜连接到共享?当用户(在本例中为系统)使用runas将进程作为另一个帐户运行时,通常会生成事件ID 552(第二个事件).
但是,仔细观察,登录ID:(0x0,0x3E7) – 表明服务是进行模拟的服务.仔细看看机器上的服务.如果另一台计算机使用您的凭据映射驱动器并且保存的凭据已过期,您也可以获取此信息.因为服务是tcpip,所以我现在打赌我的镍.
原文地址:https://www.jb51.cc/windows/368038.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
