我有一台运行 Windows 2008 R2 的域成员 SQL 服务器。它是故障转移群集中的群集节点。安全事件日志中充斥着以下内容:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/17/2012 8:30:19 AM
Event ID: 4793
Task Category: Other Account Management Events
Level: Information
Keywords: Audit Success
User: N/A
Computer: SqlServer01.domain.com
Description:
The Password Policy Checking API was called.
Subject:
Security ID: DOMAIN\ClusterServiceAccount
Account Name: ClusterServiceAccount
Account Domain: Domain
Logon ID: 0xaaaaa
Additional Information:
Caller Workstation: SqlServer01
Provided Account Name (unauthenticated): -
Status Code: 0x0
当我说“淹没”时,我的意思是每秒大约有 20 个这样的事件被记录到安全日志中,这意味着安全日志现在基本上没用了,因为它在不到一个小时的时间内就被这些事件填满,没有其他空间了。
我确实找到了这篇 Technet 文章关于它,这给了我一个关于如何关闭它的日志记录的线索,但不是简单地关闭日志记录,我更想知道究竟是什么原因导致的,为什么这样做,以及如何让它停止调用密码策略检查 API。
答案1
回答了我自己的问题。如果您有某些服务帐户非常快速地访问数据库,并且这些帐户上选中了“强制密码策略”,则 SQL 会非常快速地调用该 Windows API。您可以停止该行为,也可以通过 GPO 或本地安全策略停止记录该行为。我选择通过取消选中某些关键 SQL 服务帐户登录上的“强制密码策略”选项来停止该行为,并且可以确认我的 Windows 安全事件日志再次受到控制。