您可以查看您的登入記錄
我想檢查我的室友是否在檢查我的電腦
我看到有人在上午 8:04:28 登入
我不在場。還有什麼?
最後,令我困惑的是,我很少登入。
然而事件日誌顯示我在 3:53 和 4:18 登錄,這有點多。
答案1
當分配了任何「管理員等效」使用者權限的帳戶登入時,此事件會讓您知道。例如,您將看到事件 4672 與管理員的登入事件 (4624) 非常接近,因為管理員擁有大部分與管理員等效的權限。
因此,這是檢測任何「超級用戶」帳戶登入的有用權利。當然,對於以批次作業(排程任務)或系統服務登入的任何伺服器或應用程式帳戶,都會記錄此權限。請參閱事件 ID 4624 上的登入類型:。
注意:「使用者權限」和「特權」是 Windows 中可互換使用的同義詞。
與管理員相當的權限是強大的權限,可讓您規避 Windows 中的其他安全控制。 大多數管理員等效權限適用於與作業系統密切互動的服務和應用程式。 除了少數例外,大多數管理員等效權限既不需要也不應該授予人類使用者帳戶。
一些 Microsoft 文件將其歸類為「敏感權限使用/非敏感權限使用」子類別。然而,我們的測試在「特殊登入」類別中發現了這一點。
要了解更多信息,我們需要事件的內容。
答案2
檢查與 4672 事件具有相同 LogonID 的關聯常規登入事件 (4624)。