我有很多事件日志,其中用户登录 ID 是 0xe37 或 0xE37。我的印象是登录 ID 在重新启动后会发生变化。许多日志都表明,在此用户登录 ID 下查询了一个密码未知的帐户。什么在控制永不改变的用户 ID?
答案1
窗户登录ID(非用户 ID)0x3e7(非 0xe37)是代表本地系统本身的硬编码 LUID,即以“SYSTEM”身份运行的所有服务。对于加入 AD 的计算机,此登录 ID 可以访问该计算机的 AD 计算机帐户。
(其他静态登录 ID 为 0x3e4(表示“网络服务”进程)和 0x3e5(表示“本地服务”),本文介绍。可以使用 列出所有登录 ID klist sessions。)