在對一個不相關的問題進行故障排除時,我注意到一個使用者 (Jeny) 的 Windows 安全性日誌顯示了另一個使用者 (Holly) 的多次登入和登出。 Holly 確認她在記錄的時間登入了自己的計算機,但她登入的是自己的計算機,而不是 Jeny 的計算機。為什麼 Jeny 的電腦顯示 Holly 正在登入?我注意到我的計算機上有同樣的行為。其他使用者登入他們的系統,有時會顯示當時已登入我的系統。
DHCP 位址租用全部符合它們應該符合的位置。我沒有看到重複。
我們的伺服器是 Windows Server 2012 R2 的 Hyper V 安裝。所有工作站均執行 Windows 7。
An account was successfully logged on.
Subject: Security ID: S-1-0-0
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: S-1-5-21-3743009763-1566206104-2950842850-1382
Account Name: Holly
Account Domain: KDCO
Logon ID: 0xb49b847
Logon GUID: {C7A08844-87F2-72D8-1935-6CC6F9CD2FA7}
Process Information:
Process ID: 0x0
Process Name: -
Network Information: Workstation
Name:
Source Network Address: 10.249.144.30 Source Port: 61768
答案1
我們的工作站上確實有一個共用資料夾,並且我正在託管一台共用印表機。這可能是原因嗎?
查看您提供的事件中的登入類型,它是 #3...
登入類型 3 – 網路
大多數情況下,當您從網路上的其他位置存取電腦時,Windows 會記錄登入類型 3。登入類型 3 的登入事件最常見的來源之一是與共用資料夾或印表機的連線。 但其他透過網路登入也被歸類為登入類型 3,例如大多數 IIS 登入。 (基本驗證除外,在下面的登入類型 8 中對此進行了解釋。)