在系統賬戶中查找/刪除克隆賬戶

1.備份注冊表
操作前首先將注冊表SAM項中的內容導出，做好備份，以便在修改出現問題時恢復。

2.查找克隆賬戶
mt.exe為一個查看克隆賬戶的工具，這個exe文件會被殺毒軟件當成病毒殺掉，所以使用前要關閉殺毒軟件或排除對這個文件所在目錄的檢查。
在命令行下運行 mt.exe -chkuser >> d:\chkuser.txt ，將結果保存到txt文件中，文件中會有類似如下的內容（注意，如果之前沒有給SAM權限的話會提示Require System Privilege）：
UserName                 ExpectedSID    CheckedSID

Administrator              1F4          1F4
ASPNET                     3EE          3EE
Guest                      1F5          1F5
...........
其中ExpectedSID與CheckedSID一致的為正常賬戶，不一致的有可能是問題賬戶。如果不一致的內容當中為401/4010、501/5010形式，那么這些仍然為正常賬戶，但內容中有1F4這個值的，可以肯定是克隆了管理員賬戶權限。

3.刪除克隆賬戶
一旦我們查到了克隆賬戶，怎么刪除呢？對于克隆賬戶，首先進入注冊表查看是只復制了F值，還是F與V值都復制了。如果只復制了F值，可以直接在"本地用戶和組"中進行刪除。
如果F與V值都復制了，則不能直接在"本地用戶和組"中刪除，否則會像上面說的那樣刪除管理員賬戶。需要到注冊表中刪除該克隆賬戶對應的兩個項。
另外有些情況下在"本地用戶和組"直接刪除時也會報錯（例如報"刪除用戶 xxx 時,出現了以下錯誤:用戶不屬于此組"），這時也需要到注冊表中刪除對應項。

4.注意事項
1）如果將導出的SAM注冊表文件導回去，會出現"本地用戶和組"中的組無法顯示的情況，但不影響正常使用，重啟服務器后組會恢復正常顯示。
2）如果用刪除注冊表內容的方式來刪除賬戶，在刪除后會出現刷新"本地用戶和組"中的用戶時出現錯誤提示"讀取用戶屬性時,出現了以下錯誤:帳戶名與安全標識間無任何映射完成"，但不影響用戶的顯示和使用，重啟服務器后錯誤提示消失。
3）如果在手動操作或者某些軟件操作時，出現錯亂，導致Account\Users\Names中的用戶名和Account\Users下的值沒有一一對應（例如缺少某個值出現一對多情況），則"本地用戶和組"中的賬戶會不顯示，但不影響大部分用戶的正常使用。刪除注冊表中的錯誤項后即可恢復正常顯示。這里在刪除時，建議把有問題的賬戶全部刪除，例如出現了test和test1都對應00000ABC這一項時，最好將test與test1刪除手動重建。
4）操作前記得給注冊表SAM項管理員完全控制權限，操作完之后將權限改回去。