在事件 ID 4648 中,主体的帐户名称是“标准用户”。但在使用的凭据部分下,帐户名称是“管理员”,目标服务器是“LocalHost”,帐户域也相同。这怎么可能?此事件的确切解释是什么?使用任何应用程序都会导致这种情况吗?
答案1
我的主机上有许多 4648 事件,对于我来说,每次我以标准用户身份登录然后以其他用户(通常是管理员)身份运行新进程时都会发生这种情况。
您可以使用runas.exe或Start-Process -verb runas,或者在 GUI 内容菜单Run as a different user或中执行此操作Run as administrator。
当计划任务以特定用户身份运行时也可能会发生这种情况,但我还没有检查过。
当您连接到网络驱动器并必须提供不同的凭据时也可能会发生这种情况。