我今天登录到我的域控制器,发现事件查看器中记录了以下事件
Event Type: Warning
Event Source: USER32
Event Category: None
Event ID: 1073
Date: 3/19/2012
Time: 2:39:32 PM
User: DOMAIN\administrator
Computer: SERVER
Description:
The attempt by user DOMAIN\Administrator to restart/shutdown computer SERVER failed
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data: Words 0000: 773e4880
我回头查看了我的日志,发现过去几天出现了几个这样的情况,但我不知道为什么会发生这种情况。服务器没有重新启动,但我发现令人担忧的是,管理员帐户似乎发出了重新启动的命令,而不可能有人发出该命令(在中午)。
我做了一些研究,发现这页面描述这可能是因为注销时 Visual Studio 处于打开状态。此服务器确实安装了 Visual Studio,但我尝试在打开它的情况下注销,但没有生成事件查看器日志。
有人遇到过这种情况吗?这值得担心吗?
答案1
我意识到这是一个老问题但万一有人从谷歌搜索中遇到:
在 Win 2008 和 2008 R2 中,如果您在程序打开的情况下注销,并且该程序询问您是否要保存文件,则会出现取消注销/强制注销屏幕。如果您在该屏幕上取消注销,则事件 ID 1073 将记录到系统事件日志中