事件 ID 4634 - 帐户已注销

---

当登录会话终止或被破坏时，会生成事件 ID 4634 事件。该会话不再存在。

当用户启动注销过程时，您将看到事件 ID 4647 和 4634。

事件 ID 4647 与 4634 之间的主要区别在于，事件 id 4647 是在用户使用注销功能启动注销过程时生成的，而事件 id 4634 是在登录会话终止并且没有登录时生成的。不再存在。

事件 ID 4634 可能与事件 ID 4624 正相关：帐户已成功登录”。使用登录 ID 值的事件。

事件 ID 4634 登录类型 2 表示用户登录到此计算机。

在本文中，我们将讨论事件 ID 4634、有关事件 ID 4634 的信息、事件 ID 4634 远程桌面 (RDP) 会话终止、事件 ID 4634 登录类型（如 2、3、5、7 和 10）。

事件 ID 4634 信息

让我们详细了解事件 ID 4634 及其字段。

事件 ID 4634 XML 格式

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{62736363-7623-8273-B5CA-2E3C0352D30E}" /> 
 <EventID>4634</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>14339</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8010000000000000</Keywords> 
 <TimeCreated SystemTime="2022-01-22T18:10:21.495462300Z" /> 
 <EventRecordID>16708</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="520" ThreadID="1084" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.ShellGeek.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="TargetUserName">admin</Data> 
 <Data Name="TargetUserSid">S-1-4-21</Data> 
 <Data Name="TargetDomainName">SHELLGEEK</Data> 
 <Data Name="TargetLogonId">0xd34ccae7</Data> 
 <Data Name="LogonType">2</Data> 
 </EventData>
 </Event>

酷提示：如何在 PowerShell 中将 XML 转换为 CSV 文件！

字段说明：

主题信息

• 安全 ID：已注销帐户的安全 ID。

• 帐户名称：已注销的帐户名称。
• 帐户域：域名
• 登录ID：为HexInt64类型。它包含十六进制值，您可以使用该值将事件 ID 4634 与可能包含相同登录 ID 的最近事件关联起来。例如，事件 ID 4624 -“帐户已成功登录。 ”
• LogonType：它包含 UInt32 类型的值来表示所使用的登录类型。

酷提示：事件 ID 4771 - Kerberos 预身份验证失败！

登录类型表显示该字段的所有可能值。

Logon TypeLogon TitleDescription2InteractiveA user logged on to this computer.3NetworkA user or computer logged on to this computer from the network.4BatchBatch logon type is used by batch servers, where processes may be executing on behalf of a user without their direct intervention.5ServiceA service was started by the Service Control Manager.7UnlockThis workstation was unlocked.8NetworkCleartextA user logged on to this computer from the network. The user’s password was passed to the authentication package in its unhashed form. The built-in authentication packages all hash credentials before sending them across the network. The credentials do not traverse the network in plaintext (also called cleartext).9NewCredentialsA caller cloned its current token and specified new credentials for outbound connections. The new logon session has the same local identity but uses different credentials for other network connections.10RemoteInteractiveA user logged on to this computer remotely using Terminal Services or Remote Desktop.11CachedInteractiveA user logged on to this computer with network credentials that were stored locally on the computer. The domain controller was not contacted to verify the credentials.

酷提示：事件 ID 4776 代码 0xc0000234 - 修复以查找尝试来源！

事件 ID 4634 登录类型 7

当用户解锁之前锁定的工作站时，它会记录事件 ID 4634 登录类型 7 事件。

当用户解锁之前锁定的工作站时，它会记录事件 ID 4634 登录类型 7 事件。

酷提示：如何在 PowerShell 中操作 Active Directory UserAccountControl 标志！

事件 ID 4634 登录类型 3

事件 ID 4634 登录类型 3 表示用户或计算机从网络登录到此计算机。

用户或计算机从网络访问计算机或尝试访问计算机上的共享资源时，会记录事件 ID 4634 登录类型 3 事件。

酷提示：事件 ID 4625 状态代码 0xc000006a - 修复以查找尝试来源！

结论

希望以上关于事件 ID 4634：“帐户已注销”的文章对您有所帮助。

事件 ID 4634 可帮助您监控与登录尝试、注销、网络远程桌面活动相关的事件。

酷提示：事件 ID 4670 - 对象的权限已更改！

不同类型的事件Id 4634登录类型（例如登录类型2、登录类型3、登录类型7、登录类型10）提供了有关该事件的详细描述。

本文使用官方 Microsoft 知识库文章中的登录类型。有关这些登录类型的更多详细信息，请参阅。

您可以在 ShellGeek 主页上找到有关 PowerShell Active Directory 命令和 PowerShell 基础知识的更多主题。

您可以阅读有关其他 Windows 安全和系统事件日志的更多信息，如下所示：

• 事件 ID 4670 - 系统重新启动或关闭
• 事件 ID 4624 - 帐户已成功登录。