您好,感谢您的阅读。在开始之前,我想说明这种情况发生在不在域中的机器上。我知道还有其他已回答的问题,关于为什么这种情况可能发生在连接到域的机器上,但这种情况发生在机器位于工作组中时。
我注意到至少有 5 或 6 个不同的服务器出现了这种情况,但我不知道为什么。我有一个本地用户帐户 - 在管理员组中 - 该帐户下运行着多个服务。在某个时候 - 我无法看出它发生的时间(有时是几天、几周、甚至几个月)与服务开始抛出错误之间的任何关联。当我调查原因时,我发现这个本地帐户不再是管理员组的一部分,而是用户和“性能监视器用户”组的一部分。有时它还会被添加到“性能日志用户”组中。
我在 Windows Server 2016 和 2019 操作系统以及 Windows 10 Pro 上都观察到了这种情况。现在发生了两次的情况是,在我从这些组中删除用户并将其添加回本地管理员组后,整个事情再次发生。我在发布之前已经用 Google 搜索过这个问题,但我找不到有关这种现象的任何信息。为什么会发生这种情况?我该如何防止它发生?谢谢。
答案1
尝试查找有关该事件的更多信息。
微软文章 审计帐户管理 描述以下两个事件ID:
636 : A member was added to a local group.
637 : A member was removed from a local group.
检查事件查看器中的“Windows 日志 > 安全”下是否已找到这些事件。
如果不存在事件,请检查是否需要使用组策略编辑器 ( gpedit.msc) 启用Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy。要启用的策略称为“审计帐户管理”,并在上面的链接中进行了描述。
事件中的信息可能有助于识别执行此操作的进程。