我看到了一个事件的以下数据。
An account was logged off Security ID S-1-5-90-0-10
account name DWM-10 at 00:01:24
DWM-9 at 00:01:36
Security Id S-1-5-96-0-9
UMFD-9 at 00:01:36 logged off
请解释一下这是什么意思,尤其是当我没有登录时?
答案1
S-1-5-96-0-9
时间:1-5-90-0-10
这两个用户都是已知的系统帐户。在本例中,S-1-5属于 NT_AUTHORITY
仅包含 SECURITY_NT_AUTHORITY 标识符授权的 SID。
来源:众所周知的 SID 结构
请解释一下这是什么意思,尤其是当我没有登录时?
沒有發生任何不寻常的事。
答案2
以 S-1-5-90-0 开头的帐户(帐户名 DWM-x)是由桌面窗口管理器组件为其系统服务动态生成的。
以 S-1-5-96-0 开头的帐户(帐户名 UMFD-x)由用户模式驱动程序框架组件为其系统服务动态生成。
(普通用户账户以 S-1-5-21 开头。)
您观察到的行为完全正常。