win8如何删除未知账户(s-1-5-21-2000478354-1390067357-725345543-1003)

最新推荐文章于 2025-01-17 19:53:45 发布
原创 最新推荐文章于 2025-01-17 19:53:45 发布 · 1.2w 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#win8

本文详细介绍了如何解决Windows系统中出现的未知账户问题,包括通过修改所有者权限、禁用继承等方法来删除该未知账户。同时,提供了解决由于AuthenticatedUsers从其父系继承权限导致的问题的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天突然发现从别处复制来的游戏压缩文件不能解压,并且以前把游戏文件都是放在该目录下的,以前局域网玩起游戏来老是不能作为主机,且不能下载局域网玩的RPG地图,以前就注意过这个未知账户(s-1-5-21-2000478354-1390067357-725345543-1003),觉得是它的问题,但一直放着没去解决,今天真是有点气愤了,一定要删了这个破未知账户!!


就开始网上各种搜了。。说是以前系统账号遗留下来的问题,管他呢,能删掉就行

试了方法一:首先选中一个分区,然后选择右键——安全——选择高级按钮——选择所有者标签——选择编辑——然后选中管理员组(administrators)并把下面的勾打上,点击应用。经过以上步骤,所有文件的所有者变为管理员。
第二步:再次选中刚才的分区,然后选择右键——安全——选择高级按钮——选择权限标签,然后点击下面的更改权限按钮,将最下面的勾打上,点击应用! 

但是win8里没有所有者这个选项啊!!让我情何以堪!


只有自己找方法了,没想到是这样那个未知账号就消失了的:

右键——属性——安全——编辑——选中账号——把完全控制,修改,读取和执行...的对勾去掉——应用——确定,那个账号就应该消失了,其他各项功能也正常了!!!!


若上面方法都不行,还可采用下面的方法,还可以解决因为Authenticated Users从其父系继承权限...的问题


选中用户-->高级


选中用户-->禁用继承


然后记得应用和保存。。

就可以返回之前界面删除要删除的用户



其他的不能解决的问题我也不知道了...

win7 删除 未知账户(s-1-5-21-2000478354
weixin_30814329的博客
04-27 3796
下面的我觉得是最佳版本解决方法: -------------------------------------------------------------------------------------------------------------------------------- 未知账户(s-1-5-21-2000478354-1390067357-725345543-1...
Win10电脑未知账户彻底删除指南
mmoo_python的博客
11-12 2181
备份重要数据:在进行任何权限修改之前,建议用户先备份重要数据。虽然上述方法通常不会导致数据丢失,但以防万一总是好的。谨慎操作:权限修改是一个敏感且危险的操作。如果不确定自己在做什么,或者对系统权限设置不熟悉,建议寻求专业人士的帮助。定期检查系统:为了避免未知账户的出现,建议用户定期检查系统账户列表和权限设置。如果发现任何异常或可疑账户,应立即采取措施进行删除或隔离。保持系统更新:Windows 10操作系统会定期发布更新补丁,这些补丁通常包含了对已知安全漏洞的修复。
删除Win8系统中的未知账户.docx
09-27
删除Win8系统中的未知账户.docx
c# 修改windows中账户的用户名和密码
01-19
在 C# 中,我们可以使用 WMI 类中的 Win32_Service 或者 Win32 API 中的函数 ChangeServiceConfig 来修改本地或远程计算机 Windows 服务登录身份 (账户) 的用户名和密码。 1、使用 Win32 API 修改服务登录身份信息: 使用 Win32 API 中的函数 ChangeServiceConfig 更改的是服务控制管理器数据库中指定服务的配置信息。 private const int SC_MANAGER_ALL_ACCESS = 0x000F003F; private const uint SERVICE_NO_CHANGE =
windows2003未知帐户的删除
11-27
文件夹属性安全选项卡里面未知用户的删除,解除您的烦恼!
Windows常见问题(技巧)总结
悟道子HD
04-26 2189
windows 中网速很慢,如何解决?>1 电脑适配器DNS设置 一般打开网络适配器,设置tcp/ip中DNS地址为: 114.114.114.114 223.5.5.5(国内) 若非该国内DNS地址, 则网速变慢
联想工程师专用小工具 新建账户工具V3.27.1
05-30
联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.27.1联想工程师专用小工具 新建账户工具V3.
未知账户(S-1-5-21)无法删除的问题
weixin_34168700的博客
10-23 7665
这个要先在安全里面把所有者设置为你当前的管理用户后才可以删除 具体操作就是,点安全出来后,再点高级,再点里面的所有者,换为你系统当前的用户。 这样确定再进入才可以删除的   参考:http://wenwen.soso.com/z/q165775261.htm http://hi.baidu.com/woshenxia/blog/item/c89c6c327f7ee6caa2...
关于您需要来自S-1-5-21的权限问题的解决
07-10
本文将深入解析与"S-1-5-21"相关的权限问题及其解决方案,基于Windows系统从XP升级到Win7后的具体实例。 ### S-1-5-21:SID(安全标识符) "S-1-5-21"是一个安全标识符(SID),它用于标识一个域或一个用户/组。在...
应急响应靶场-Where-1S-tHe-Hacker-P2
hide_in_darkness的博客
06-05 1531
关注我们,咱们在安全的路上,扬帆起航。
【Kubernetes k8s】(两万字超详细)Ubuntu-22.04搭建 k8s-1.30.1集群,开启Dashboard-2.7.0、部署ingress-nginx-1.10.1
m0_74823239的博客
01-17 776
kubeadm是自动引导整个集群的工具,本质上k8s就是一些容器服务相互配合完成管理集群的任务,如果你知道具体安装哪些容器那么可以不用这个。kubalet是各个节点的总管,它上面都管,管理Pod、资源、日志、节点健康状态等等,它不是一个容器,是一个本地软件,所以必须得安装kubectl是命令行工具,给我们敲命令与k8s交互用的,必须得安装大白话就是:在此之前我们都是直接访问service,让service负载均衡到Pod上,优点是直接,缺点是随着service的增多端口会越来越多,不好记。于是我们在。
Windows中的未知账户删除|电脑未知账户怎么删除
天涯的浪子
05-31 1万+
有的时候,因为重装Windows系统,或者其它帐户类的操作导致产生未知账户,另外最近安装阿里云盘和语雀等软件后打不开没反应,也可用这种方法解决,这篇文章是本站给大家带来的Windows中的未知账户删除方法。
Win11重置系统之后删除文件出现“您需要来自S-1-5-21…的权限才能对此文件夹进行更改”提示解决方案
热门推荐
CDL_dog的博客
08-28 2万+
我在重置了一次系统之后,发现原来在我D盘中的一些文件无法正常的删除,会弹出“您需要来自S-1-5-21…”很长的一段提示。在网上搜索之后也找到一个很好的解决办法,在此做一下记录。
服务器用户名出现未知账户,删除未知账户,您必须阻止对象继承权限的解决方法...
weixin_42472941的博客
07-30 6644
服务器被入侵,在重新检查服务器安全的时候发现IIS里的权限多了个未知用户,删除未知账户时提示“未知用户....您必须阻止对象继承权限...”。未知帐户是“未知帐户(S-1-5-21-682003330-2139871995-725345543-500)”,删除时出现错误提示:【因为未知帐户(S-1-5-21-682003330-2139871995-725345543-500)”从其父系继承权限,...
win7文件夹属性中出现未知账户处理方法
兴来每独往
05-12 1万+
计算机在当前系统之前安装过一次或多次系统,并且在使用以前的系统时使用用户账户建立并设置了文件或文件夹的所有者。 由于NTFS文件系统的特性,之前的这些信息被保存到了现在使用的系统中,所以你会在该文件夹的“安全”属性中看到一个未知帐户。 方法一: 1.右键单击要调整的文件夹,并选择“属性”选项; 2.单击属性对话框的“安全”选项卡,并单击“高级”按钮; 3.在高级安全设置对话框...
win10系统删除文件提示需要S-1-5-21.../XXX权限才能对此文件进行操作
zoetu
12-05 9836
win10系统需要S-1-5-21权限/XXX权限才能操作文件
突然耗尽C盘空间资源
zglcl008的专栏
02-28 1万+
扫描结果----------------------C:/Documents and Settings/ibmuser/Local Settings/Application Data/S-1-5-31-1286970278978-5713669491-166975984-320/Rotinom/RECYCLER.exe 蠕虫病毒(Worm.Generic.221028) 已删除C:/Documen
账户管理命令分析
rxh1234567的博客
01-09 1633
1)useradd   作用:创建新账号  参数:-d 设置用户家目录;-e 用YYYYY-MM-DD格式指定一个账户过期日期;-f 指定帐户失效日期 ;-g 指定用户登录组的GID或组名;-G 指定一个或多个附加组;-m 创建用户HOME目录;-M 不创建用户家目录;-p 为用户账户指定默认密码;-s 指定登录shell类型;-u 为账户指定一个唯一的UID。 2)userdel   作用:删除用户  参数:-r 删除用户与家目录。 3)groupadd   作用:创建用户组  参数:-g 指定GID。
分析一下这个用户- System - Provider [ Name] Microsoft-Windows-Security-Auditing [ Guid] {54849625-5478-4994-a5ba-3e3b0328c30d} EventID 4624 Version 2 Level 0 Task 12544 Opcode 0 Keywords 0x8020000000000000 - TimeCreated [ SystemTime] 2025-07-14T03:51:17.0864303Z EventRecordID 710217731 - Correlation [ ActivityID] {ed5f96e8-f06f-000a-4397-5fed6ff0db01} - Execution [ ProcessID] 3088 [ ThreadID] 13232 Channel Security Computer SJFZ-N-GPU-0010.forehopecloud.com Security - EventData SubjectUserSid S-1-5-18 SubjectUserName SJFZ-N-GPU-0010$ SubjectDomainName FOREHOPECLOUD SubjectLogonId 0x3e7 TargetUserSid S-1-5-18 TargetUserName SYSTEM TargetDomainName NT AUTHORITY TargetLogonId 0x3e7 LogonType 5 LogonProcessName Advapi AuthenticationPackageName Negotiate WorkstationName - LogonGuid {00000000-0000-0000-0000-000000000000} TransmittedServices - LmPackageName - KeyLength 0 ProcessId 0xc08 ProcessName C:\Windows\System32\services.exe IpAddress - IpPort - ImpersonationLevel %%1833 RestrictedAdminMode - TargetOutboundUserName - TargetOutboundDomainName - VirtualAccount %%1843 TargetLinkedLogonId 0x0 ElevatedToken %%1842
最新发布
07-15
<think>我们正在分析Windows安全事件ID 4624中System用户的登录事件。System用户(也称为NT AUTHORITY\SYSTEM)是Windows中的最高权限账户,通常由操作系统核心进程和服务使用。分析System账户的登录事件对于安全审计和异常检测非常重要,因为攻击者可能通过漏洞或恶意软件获取System权限。 ### 步骤1: 理解System用户登录事件的特性 - **正常情况**:System用户的登录事件通常由系统内部进程触发,例如: - 服务启动(如Windows Update服务) - 计划任务执行 - 系统启动时的初始化进程 - **异常情况**:如果System用户从异常位置(如远程IP)登录,或登录时间异常(如非工作时间),可能表示恶意活动(如提权攻击)[^1]。 ### 步骤2: 在事件查看器中筛选System登录事件 使用图形界面(事件查看器)是最直观的方法: 1. **打开事件查看器**: - 按`Win+R`,输入`eventvwr.msc`,回车。 2. **定位安全日志**: - 展开`Windows 日志` > 点击`Security`。 3. **筛选事件**: - 在右侧操作栏点击`筛选当前日志...`。 - 在`事件ID`框中输入`4624`。 - 在`用户`框中输入`SYSTEM`(注意:用户名必须大写)。 - 点击`确定`。 ![事件查看器筛选System事件](https://via.placeholder.com/400x200?text=事件查看器筛选System登录事件) 4. **分析结果**: - 事件列表会显示所有System用户的登录记录。 - 双击事件查看详细信息,重点关注: - `登录类型`(Logon Type):System用户常见的登录类型为`5`(服务)或`0`(系统)。 - `源网络地址`(Source Network Address):正常应为空或`127.0.0.1`,若出现外部IP则异常。 - `进程名`(Process Name):正常应为`services.exe`或`svchost.exe`等系统进程。 ### 步骤3: 使用PowerShell深度分析 PowerShell可快速统计和导出System登录事件: ```powershell # 查询所有System用户的登录事件 $events = Get-WinEvent -LogName Security -FilterXPath "*[System[(EventID=4624)] and EventData[Data[@Name=&#39;TargetUserName&#39;]=&#39;SYSTEM&#39;]]" # 统计事件数量 $events.Count # 提取关键字段(时间、登录类型、进程名、IP地址) $events | ForEach-Object { $xml = [xml]$_.ToXml() $time = $_.TimeCreated $logonType = $xml.Event.EventData.Data | Where-Object { $_.Name -eq "LogonType" } | Select-Object -ExpandProperty "#text" $processName = $xml.Event.EventData.Data | Where-Object { $_.Name -eq "ProcessName" } | Select-Object -ExpandProperty "#text" $ipAddress = $xml.Event.EventData.Data | Where-Object { $_.Name -eq "IpAddress" } | Select-Object -ExpandProperty "#text" [PSCustomObject]@{ Time = $time LogonType = $logonType Process = $processName IPAddress = $ipAddress } } | Format-Table -AutoSize ``` ### 步骤4: 关键字段解释 - **登录类型(Logon Type)**: - `5`:服务登录(Service),如后台服务启动。 - `0`:系统登录(System),如内核初始化。 - 其他类型(如`3`网络登录)对System用户通常异常。 - **进程名(Process Name)**: - 正常:`C:\Windows\System32\services.exe`, `C:\Windows\System32\svchost.exe`。 - 异常:未知路径(如`C:\Temp\malware.exe`)。 - **IP地址(IpAddress)**: - 正常:`-`(空)或`127.0.0.1`。 - 异常:公网IP(如`192.168.1.100`)可能表示远程控制。 ### 安全建议 - **基线监控**:建立System登录的正常行为基线(如常见进程、登录频率)。 - **告警规则**:对以下异常触发告警: - 登录类型为`3`(网络)或`10`(远程交互)。 - 进程名不在白名单内(如非`System32`目录)。 - 源IP地址为外部网络[^1]。 ### 示例分析结果 假设发现一个异常事件: ``` 时间: 2023-05-15 02:30:00 登录类型: 3 进程名: C:\Windows\Temp\spoolsv.exe IP地址: 192.168.1.100 ``` **结论**:此事件可疑,因为: 1. System用户通常不会以网络登录(类型3)出现。 2. 进程路径异常(不应在`Temp`目录)。 3. 存在外部IP地址(可能为横向移动)。 ### 引用 [^1]: 基于Windows安全日志分析实践,System账户的异常登录常与高级持续性威胁(APT)相关,需结合其他日志(如进程创建)进一步调查。 §§相关问题§§ 1. 如何监控Windows系统中System账户的异常行为? 2. Windows安全事件ID 4624中登录类型的完整列表是什么? 3. 如何将Windows安全日志实时导出到SIEM系统?</think>### Windows 安全事件 ID 4624 中 System 用户登录分析指南 System 用户(`NT AUTHORITY\SYSTEM`)是 Windows 系统的最高权限账户,通常由操作系统核心进程和服务使用。分析其登录事件对安全审计至关重要,以下是详细步骤: --- ### 一、System 用户登录特征分析 1. **典型登录场景**: - 服务启动(如 Windows Update 服务) - 计划任务执行 - 系统启动时的初始化进程 - 驱动程序加载 - **异常特征**: - 登录类型为 `3`(网络登录)或 `10`(远程交互) - 源 IP 为外部地址 - 非系统进程触发的登录(如 `explorer.exe`) 2. **关键字段说明**(事件 4624 详情): ```markdown Subject: Security ID: SYSTEM Account Name: SYSTEM Logon Type: 5 (服务登录) 或 0 (系统登录) Process Name: C:\Windows\System32\services.exe (正常) Network Information: Source Address: ::1 (正常为本地环回) ``` --- ### 二、分析操作步骤 #### 方法 1:事件查看器筛选 1. 打开事件查看器(`eventvwr.msc`) 2. 定位:`Windows 日志 > 安全` 3. 筛选当前日志: - **事件 ID**:`4624` - **用户**:`SYSTEM`(需大写) - **XML 筛选器**(高级): ```xml <QueryList> <Query Id="0"> <Select Path="Security"> *[EventData[Data[@Name=&#39;TargetUserName&#39;]=&#39;SYSTEM&#39;]] and *[System[(EventID=4624)]] </Select> </Query> </QueryList> ``` #### 方法 2:PowerShell 深度分析 ```powershell # 提取所有 SYSTEM 登录事件 $events = Get-WinEvent -LogName Security -FilterXPath "*[System[(EventID=4624)] and EventData[Data[@Name=&#39;TargetUserName&#39;]=&#39;SYSTEM&#39;]]" # 分析关键字段 $events | ForEach-Object { $xml = [xml]$_.ToXml() $logonType = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq "LogonType" }).&#39;#text&#39; $process = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq "ProcessName" }).&#39;#text&#39; $ip = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq "IpAddress" }).&#39;#text&#39; [PSCustomObject]@{ Time = $_.TimeCreated LogonType = $logonType Process = $process IP = $ip } } | Format-Table -AutoSize ``` #### 输出示例: ``` Time LogonType Process IP ---- --------- ------- -- 2023-05-15 08:00:00 5 C:\Windows\System32\svchost.exe ::1 2023-05-15 02:30:00 3 C:\Temp\malware.exe 192.168.1.100 ``` --- ### 三、安全威胁判定矩阵 | **特征** | 正常场景 | 潜在威胁指示 | |-------------------|-------------------------|--------------------------| | **登录类型** | 0, 5, 9 | 3, 10, 2 | | **进程路径** | System32 目录下系统进程 | Temp 目录或非常规路径 | | **源 IP** | ::1127.0.0.1 | 外部 IP 或内网非常规 IP | | **登录时间** | 工作时间/系统维护时段 | 凌晨 2-5 点 | > ⚠️ 若发现 `LogonType=3` 且 `ProcessName` 为非常规进程(如 `powershell.exe`),需立即排查恶意服务注入[^1]。 --- ### 四、高级分析技巧 1. **关联事件分析**: - 检查登录后 **4688 事件**(进程创建)是否触发可疑操作 - 关联 **7045 事件**(服务安装)检测恶意服务 2. **频率基线**: ```powershell # 统计每小时 SYSTEM 登录次数 $events | Group-Object { $_.TimeCreated.ToString("yyyy-MM-dd HH") } | Sort-Object Count -Desc ``` 异常:单小时超过 20 次登录(正常服务通常 <5 次/小时) 3. **登录类型分布**: ```powershell $events | Group-Object { ($_.ToXml() | Select-Xml "//*[@Name=&#39;LogonType&#39;]").Node.InnerText } | Format-Table Name, Count ``` --- ### 引用说明 [^1]: 根据安全分析实践,System 账户的异常网络登录(类型 3)常与横向移动攻击相关,需结合进程路径和登录时间综合判断。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值