在查看 Windows 事件日志时,我看到提到了两种用户:主题用户名和目标用户名。
对于身份验证日志(例如 4624 登录事件),我了解主题用户名是执行身份验证的用户,即系统。目标用户名是尝试进行身份验证的用户。
但是,对于进程创建(事件代码 4688)等日志,谁是主题用户,谁是目标用户?
我唯一能想到的是,如果使用模拟令牌,那么主题可以是执行操作的用户,目标可以是代表正在执行操作的用户。但我不认为这是正确的答案。
有任何想法吗?
主页
/
user-1738541