每小时有无数次,域中的用户被 WmiPrvSE.exe 锁定。深入研究锁定用户的服务器上的事件日志,它显示 WmiPrvSE.exe 使用的是显式凭据,而不是本地系统帐户。检查进程和服务,它们都说它们正在使用本地系统帐户。然而,锁定一直发生在该进程中。
有没有办法从进程中删除用户的凭据以防止这种情况继续发生?我已从服务器中删除了用户的所有痕迹(用户配置文件、存储的凭据等)。
答案1
首先,请在干净启动环境中检查症状,以排查问题是否是由第三方服务引起的。
https://support.microsoft.com/en-sg/help/929135/how-to-perform-a-clean-boot-in-windows
我们可以尝试使用进程探索工具来分析“WmiPrvSE.exe”服务。
https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx