In unserer Umgebung habe ich eine Handvoll Ereignisse mit der ID 4776 gefunden The computer attempted to validate the credentials for an account. Unten sehen Sie die Ausgabe dieses Ereignisprotokolls. Es sieht so aus, als ob es sich bei dem betreffenden Benutzer um handelt Guest, wobei es sich um ein deaktiviertes Konto handelt:
Ich habe auch eine entsprechende Ereignis-ID 4625 gefunden, die unten angezeigt wird, von derselben Zeit und demselben GuestBenutzer. Für diese Ereignis-ID kann ich jedoch den Benutzernamen des Betreffs sehen, für den ich versuche, den Benutzer zu finden.
Meine Fragen sind:
- Kann jemand Aufschluss darüber geben, warum ein deaktiviertes Gastkonto versucht, sich anzumelden?
- Was ist bei Ereignis-ID 4625 der Unterschied zwischen dem Benutzernamen des Betreffs und dem Benutzernamen des Ziels? Ich habe eine Idee, möchte aber keine Annahmen treffen.
Antwort1
Auch wenn das Gastkonto deaktiviert ist, kann man trotzdem versuchen, sich damit anzumelden. Der Versuch schlägt offensichtlich fehl (wie in diesem Fall), was zu Ereignis 4625 führt.
Der Unterschied zwischen Subjekt und Ziel ist einfach. Subjekt ist das Konto, das den Fehler meldet (das könnte beispielsweise das Computerkonto oder ein Prozess wie IIS sein), während Ziel das betreffende Konto ist, bei dem die Anmeldung fehlgeschlagen ist.
Es sieht so aus, als ob Ihr Problem ein lokaler Prozess ist, der versucht, sich als Gastkonto mit PID 5744 (0x1670) anzumelden. Sie sollten diesen Prozess also im Task-Manager sehen.
Hier können Sie weitere Informationen sehen:https://system32.eventsentry.com/security/event/4625