我已在 Active Directory 中禁用用户(终止帐户)。但是,我仍然收到日志,其中事件 ID 为 5379(已读取凭据管理器凭据)、4673(已调用特权服务)、4656(已请求对象句柄)。
调用的进程为:
gfxdownloadwrapper.exe 4673
lsbupdater.exe 4673
cleanmgr.exe 4673
quickup.exe 4673
searchui.exe 4673
原因可能是什么??用户被禁用,那么这些事件如何记录Account name: disabled_user.name
答案1
乍一看,这些似乎大多是来自 Windows 客户端计算机的定期安排的任务,我猜测是分配给已终止帐户的用户的笔记本电脑/台式机。
我认为该帐户可能尚未从相关机器上禁用/删除,因此与该帐户相关的一些计划任务仍在机器上执行(例如搜索索引、磁盘清理等)。
我的建议是检查该帐户是否在机器上处于活动状态,如果可能的话,禁用和/或删除它。