DC のセキュリティ ログの 1 つに次のようなメッセージが多数表示されます。
*イベント タイプ: 失敗監査
イベント ソース: セキュリティ
イベント カテゴリ: ディレクトリ サービス アクセス
イベント ID: 566
日付: 27/01/2010
時刻: 10:12:41
ユーザー: Domain\Exchangeserver$
コンピューター: DC
説明:
オブジェクト操作: オブジェクト サーバー: DS
操作タイプ: オブジェクト アクセス
オブジェクト タイプ: コンテナー
オブジェクト名: CN=削除されたオブジェクト、CN=構成、DC=ドメイン、DC=ローカル
ハンドル ID: -
プライマリ ユーザー名: DC$
プライマリ ドメイン: ドメイン
プライマリ ログオン ID: (0x0,0x3E7)
クライアント ユーザー名: Exchangeserver$
クライアント ドメイン: ドメイン
クライアント ログオン ID: (0x0,0x55A0BA34)
アクセス: プロパティの読み取り
プロパティ:
デフォルトのプロパティ セット
uSNChanged
パブリック情報
オブジェクト
クラス コンテナー
追加情報:
追加情報2:
アクセス マスク: 0x10*
私が気づいた唯一のことは、一部のユーザーのメールボックス権限 (ADUC) にプレーン SID がいくつか表示されており、これは現在削除されている古いユーザー アカウントであるとしか考えられません (ユーザーへの SID は解決されません)。関連があるかどうかはわかりません。
何か案は?
ありがとう
答え1
この問題に遭遇した後、Google で調べてみると、Windows 2003 で属性を機密としてマークできる変更があったことがわかりました。これが「uSNChanged」に当てはまるかどうかはわかりません。
結果の一例(Google のトップヒット):
http://www.eventid.net/display.asp?eventid=566&eventno=4015&source=Security&phase=1
これがあなたの状況に当てはまると仮定すると、2 つの選択肢があるようです (上記のリンク先の記事から引用)。
- セキュリティ イベント ログから監査エントリを削除するには、ディレクトリ サービス アクセス監査を監査なしに設定します。
- ADSIEDIT で、SCHEMA パーティション (UnixUserPassword) に移動し、検索フラグの属性を 128 から 0 に変更して、レプリケーションを強制します。
「イベント ID 566」と「uSNChanged」を検索しても、明らかにより具体的なものは見つかりませんでした。状況に応じて属性の指示を調整してください。
これについては他の場所にもたくさん言及されています。私自身はまだ解決できていませんが、これがあなたの状況に役立つことを願っています。