ログイン履歴を表示できます
ルームメイトが私のパソコンをチェックしているかどうか確認したい
午前8時4分28秒に誰かがログインしているのがわかります
私はそこにいませんでした。また、特別ログオンがあります。それは何ですか?
最後に、私が混乱しているのは、ほとんどログインしないということです。
しかし、イベント ログには 3:53 と 4:18 にログインしたことが記録されており、これはかなり多い数字です。
答え1
ソース:4672: 新しいログオンに割り当てられた特別な権限
このイベントにより、「管理者と同等」のユーザー権限が割り当てられたアカウントがログオンするたびに通知されます。たとえば、管理者は管理者と同等の権限のほとんどを持っているため、管理者のログオン イベント (4624) の近くにイベント 4672 が表示されます。
したがって、これは「スーパー ユーザー」アカウントのログオンを検出するのに便利な権限です。もちろん、この権限は、バッチ ジョブ (スケジュールされたタスク) またはシステム サービスとしてログオンするすべてのサーバーまたはアプリケーション アカウントに対して記録されます。イベント ID 4624 のログオン タイプを参照してください。ログオン ID: によって 4672 と 4624 を関連付けることができます。
注: 「ユーザー権限」と「特権」は、Windows では同義語として使用されます。
管理者と同等の権限は、Windows の他のセキュリティ制御を回避できる強力な権限です。 管理者と同等の権限のほとんどは、オペレーティング システムと密接にやり取りするサービスおよびアプリケーションを対象としています。 わずかな例外を除き、管理者と同等の権限のほとんどは、人間のユーザー アカウントに付与する必要はなく、付与すべきでもありません。
一部の Microsoft ドキュメントでは、これを「機密特権の使用 / 非機密特権の使用」サブカテゴリに分類しています。ただし、当社のテストでは、これは「特別なログオン」カテゴリに分類されています。
さらに詳しく知るには、イベントの内容が必要です。
答え2
4672 イベントと同じ LogonID を持つ、関連付けられている通常のログオン イベント (4624) を確認します。