こんにちは。お読みいただきありがとうございます。始める前に、これはドメインにないマシンで発生していることを述べておきます。ドメインに接続されているマシンでなぜこれが発生するのかについては、他の回答済みの質問があることは承知していますが、これはマシンがワークグループ内にあるときにのみ発生します。
少なくとも 5 台または 6 台の異なるサーバーでこの現象に気付きましたが、原因はわかりません。管理者グループにローカル ユーザー アカウントがあり、その下で複数のサービスが実行されています。ある時点で、サービスがエラーをスローし始めますが、発生するまでの時間 (数日、数週間、数か月かかることもあります) に関して相関関係はわかりません。原因を調べてみると、このローカル アカウントは管理者グループの一部ではなく、ユーザーおよび「パフォーマンス モニター ユーザー」グループの一部になっていることがわかりました。「パフォーマンス ログ ユーザー」グループにも追加されることがあります。
私は、Windows Server 2016 および 2019 OS、および Windows 10 Pro でこれを観察しました。これまでに 2 回発生したのは、これらのグループからユーザーを削除し、ローカルの Administrators グループに再度追加した後、すべてが再び発生することです。投稿する前に Google で検索しましたが、この現象に関する情報は見つかりませんでした。なぜこのようなことが起こるのでしょうか。また、これを防止するにはどうすればよいですか。ありがとうございます。
答え1
イベントに関する詳細情報を探してみてください。
マイクロソフトの記事 監査アカウント管理 次の 2 つのイベント ID について説明します。
636 : A member was added to a local group.
637 : A member was removed from a local group.
これらのイベントがイベント ビューアーの「Windows ログ > セキュリティ」に既に表示されているかどうかを確認します。
イベントがない場合は、gpedit.mscの下にあるグループ ポリシー エディター ( ) を使用して、有効にする必要があるかどうかを確認しますComputer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy。有効にするポリシーは「アカウント管理の監査」と呼ばれ、上記のリンクで説明されています。
イベント内の情報は、この操作を実行しているプロセスを識別するのに役立つ可能性があります。