在计算机(WS2012-R2)上重新引导后,我观察到我无法再使用任务管理器中的“详细信息”选项卡杀死启动时运行的进程。在检查了各地发布的其他类似问题的解决方案后,我注意到许多人都在推荐各种SysInternals工具。使用这些各种工具,尝试通过使用Windows(任务管理器)/ SysInternals(Process Explorer)GUI或命令行taskkill / psexec终止进程时,我仍然收到“拒绝访问”消息。
为了进行故障排除,我正在使用诸如Notepad.exe之类的良性工具-这是我使用psexec.exe所做的努力的输出...
C:\Users\adminaccount\Desktop\PSTools>psexec -s taskkill /im Notepad.exe /f
PsExec v2.11 - Execute processes remotely
Copyright (C) 2001-2014 Mark Russinovich
Sysinternals - www.sysinternals.com
ERROR: The process "notepad.exe" with PID 1968 could not be terminated.
Reason: Access is denied.
taskkill exited on SERVERNAME with error code 1.
C:\Users\adminaccount\Desktop\PSTools>
奇怪的是,可以通过任务管理器的“进程”选项卡将Notepad.exe杀死,没有任何问题。
在上述重新启动后,看起来已安装MS15-111(特权提升)和MS15-109(远程代码执行)(基于我的公司IT策略)。我将尝试删除这些,但是我不确定我将能够轻松删除。
在故障排除过程中,我当时正在使用管理员帐户;此管理员帐户是创建记事本进程的帐户,因此,使我震惊的是,该帐户无法通过使用“进程”选项卡杀死该进程。简而言之,如果重新启动后无法通过“进程”选项卡轻松地执行此操作,则该管理员帐户似乎不再会杀死任何内容。
我观察到此问题试图杀死通过“计划任务”启动的进程。任务管理器的“进程”选项卡方法不适用于由系统调度程序启动的进程。
以管理员身份打开命令提示符:是。通过Task Scheduler启动:是的,那些引起了我的注意,但是请注意,Notepad.exe是通过Interactive Windows Explorer打开的。在任务计划程序中,我从今天使用的管理帐户的凭据开始。任务管理器将这些用户报告为我登录时使用的同一管理用户。
—
sonnik,2015年
taskkill?您无法通过“进程”选项卡杀死的进程全部通过任务计划程序启动吗?您在任务计划程序中使用了哪些用户/设置来启动任务?任务管理器报告这些进程以哪个用户名运行?