在其中一个DC安全日志中获取大量这些内容:
*事件types:失败审计
事件来源:安全
事件类别:目录服务访问
事件ID:566
date:27/01/2010
时间:10:12:41
用户:Domain \ Exchangeserver $
计算机:DC
描述:
对象操作:对象服务器:DS
操作types:对象访问
对象types:容器
对象名称:CN =删除的对象,CN =configuration,DC =域,DC =本地
手柄ID: –
主要用户名称:DC $
主要域:域
主loginID:(0x0,0x3E7)
客户端用户名:Exchangeserver $
客户端域:域
客户端loginID:(0x0,0x55A0BA34)
访问:读取属性
属性:
默认属性集
uSNChanged
公共信息
对象类
容器
附加信息:
附加信息2:
访问掩码:0x10 *
唯一我注意到的是有一些简单的SID显示在邮箱权限(ADUC)为我们的一些用户,我只能假设是老用户账户,现在已经被删除(Sid给用户不会解决)。 不确定是否相关。
有任何想法吗?
谢谢
在我遇到这个问题后,基于一些谷歌search,我发现在Windows 2003中有一个变化,允许属性被标记为机密。 我不确定这是否适用于“uSNChanged”。
一个例子结果(顶级Google命中):
http://www.eventid.net/display.asp?eventid=566&eventno=4015&source=Security&phase=1
假设这适用于你的情况,你似乎有两个选项(引自上面链接的文章):
- 将目录服务访问审核设置为不审核以从安全事件日志中删除审核条目。
- 在ADSIEDIT中进入SCHEMA分区–UnixUserPassword – 在search标志的属性下从128变为0,然后强制复制。
在查找“事件id 566”和“uSNChanged”时,我没有遇到任何明显更具体的事情。根据您的情况调整属性的说明。
其他地方有很多提到。 我还没有整理出来,但希望这可以帮助你的情况。