在其中一个 DC 安全日志中获取大量此类信息:
*事件类型:失败审核
事件来源:安全
事件类别:目录服务访问
事件 ID:566
日期:27/01/2010
时间:10:12:41
用户:Domain\Exchangeserver$
计算机:DC
描述:
对象操作:对象 服务器:DS
操作类型:对象访问
对象类型:容器
对象名称:CN=Deleted Objects,CN=Configuration,DC=Domain,DC=local
句柄 ID:-
主用户名:DC$
主域:域
主登录 ID:(0x0,0x3E7)
客户端用户名:Exchangeserver$
客户端域:域
客户端登录 ID:(0x0,0x55A0BA34)
访问:读取属性
特性:
默认属性集
uSNChanged
公共信息
objectClass
容器
附加信息:
附加信息2:
访问掩码: 0x10*
我唯一注意到的是,我们的某些用户的邮箱权限 (ADUC) 中显示了一些普通的 SID,我只能假设这些是现已删除的旧用户帐户(无法解析用户的 Sid)。不确定这是否相关。
有任何想法吗?
谢谢
答案1
遇到此问题后,我通过谷歌搜索发现,Windows 2003 中有一个变化,允许将属性标记为机密。我不确定这是否适用于“uSNChanged”。
一个示例结果(Google 热门搜索结果):
http://www.eventid.net/display.asp?eventid=566&eventno=4015&source=Security&phase=1
假设这适用于您的情况,您似乎有两个选择(引用自上面链接的文章):
- 将目录服务访问审核设置为无审核,以从安全事件日志中删除审核条目。
- 在 ADSIEDIT 中进入 SCHEMA 分区 - UnixUserPassword - 在搜索标志的属性下将 128 更改为 0,然后强制复制。
在查找“事件 ID 566”和“uSNChanged”时,我没有遇到任何明显更具体的内容。请根据您的情况调整属性说明。
其他地方有很多关于此内容的提及。我自己还没有整理出来,但希望这对您的情况有所帮助。