Active-Directory

從 Active Directory 中的禁用帳戶中檢測到使用者活動

  • February 9, 2022

我在我的 Active Directory 中禁用了一個使用者(終止了該帳戶)。但是,我仍然收到事件 ID 5379(已讀取憑據管理器憑據。)、4673(呼叫特權服務。)、4656(請求對象句柄)的日誌。

呼叫的過程是:

gfxdownloadwrapper.exe  4673
lsbupdater.exe  4673
cleanmgr.exe    4673
quickup.exe 4673
searchui.exe    4673

可能是什麼原因??使用者被禁用然後如何記錄這些事件Account name: disabled_user.name

乍一看,這些似乎大多是來自 Windows 客戶端電腦的定期計劃任務,我猜是分配給帳戶已被終止的使用者的筆記型電腦/台式機。

我想該帳戶可能尚未從相關機器中禁用/刪除,因此與該帳戶關聯的一些計劃任務仍在機器上執行(例如搜尋索引、磁碟清理等)。

我的建議是檢查該帳戶在電腦上是否處於活動狀態,如果可能,禁用和/或刪除它。

引用自:https://serverfault.com/questions/1092543