在排除一个不相关的问题时,我注意到一个用户 (Jeny) 的 Windows 安全日志显示了另一个用户 (Holly) 的多次登录和注销。Holly 确认她在记录的时间登录了她的计算机,但她登录的是她自己的计算机而不是 Jeny 的计算机。为什么 Jeny 的计算机显示 Holly 正在登录?我注意到我的计算机上也有同样的行为。其他用户登录他们的系统,偶尔会显示当时已登录我的系统。
DHCP 地址租约均匹配。我没有看到重复项。
我们的服务器是 Windows Server 2012 R2 的 Hyper V 安装。所有工作站都运行 Windows 7。
An account was successfully logged on.
Subject: Security ID: S-1-0-0
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: S-1-5-21-3743009763-1566206104-2950842850-1382
Account Name: Holly
Account Domain: KDCO
Logon ID: 0xb49b847
Logon GUID: {C7A08844-87F2-72D8-1935-6CC6F9CD2FA7}
Process Information:
Process ID: 0x0
Process Name: -
Network Information: Workstation
Name:
Source Network Address: 10.249.144.30 Source Port: 61768
答案1
我们的工作站上确实有一个共享文件夹,并且我还托管了一台共享打印机。这可能是原因吗?
查看您提供的事件中的登录类型,它是#3...
登录类型 3 – 网络
当您从网络的其他地方访问计算机时,大多数情况下 Windows 都会记录登录类型 3。登录类型 3 的登录事件的最常见来源之一是与共享文件夹或打印机的连接。 但其他通过网络的登录也被归类为登录类型 3,例如大多数 IIS 登录。(基本身份验证除外,下文的登录类型 8 中对此进行了说明。)