Ereignis-ID 566 – Gelöschte Objekte – Exchange Server

tag-icon tag-icon windows-server-2003 exchange windows-event-log audit
Ereignis-ID 566 – Gelöschte Objekte – Exchange Server

In einem der Sicherheitsprotokolle eines DCs werden häufig folgende Einträge angezeigt:

*Ereignistyp: Fehlerüberwachung
Ereignisquelle: Sicherheit
Ereigniskategorie: Verzeichnisdienstzugriff
Ereignis-ID: 566
Datum: 27/01/2010
Uhrzeit: 10:12:41
Benutzer: Domäne\Exchangeserver$
Computer: DC
Beschreibung:
Objektvorgang: Objektserver: DS
Vorgangstyp: Objektzugriff
Objekttyp: Container
Objektname: CN=Gelöschte Objekte, CN=Konfiguration, DC=Domäne, DC=lokal
Handle-ID: -
Primärer Benutzername: DC$
Primäre Domäne: Domäne
Primäre Anmelde-ID: (0x0,0x3E7)
Clientbenutzername: Exchangeserver$
Clientdomäne: Domäne
Clientanmelde-ID: (0x0,0x55A0BA34)
Zugriffe: Eigenschaft lesen

Eigenschaften:

Standardeigenschaftssatz
uSNChanged
Öffentliche Informationen
objectClass
Container
Zusätzliche Informationen:
Zusätzliche Informationen2:
Zugriffsmaske: 0x10*

Das Einzige, was mir aufgefallen ist, ist, dass in den Postfachrechten (ADUC) für einige unserer Benutzer einige einfache SIDs angezeigt werden, bei denen es sich meiner Meinung nach um alte Benutzerkonten handelt, die inzwischen gelöscht wurden (SID zu Benutzer lässt sich nicht auflösen). Ich bin nicht sicher, ob das damit zusammenhängt.

Irgendwelche Ideen?

Danke

Antwort1

Nachdem ich darauf gestoßen war, habe ich nach einer Google-Suche herausgefunden, dass es in Windows 2003 eine Änderung gab, die es ermöglichte, Attribute als vertraulich zu kennzeichnen. Ich bin mir nicht sicher, ob dies auch für „uSNChanged“ galt.

Ein Beispielergebnis (ein Top-Treffer bei Google):

http://www.eventid.net/display.asp?eventid=566&eventno=4015&source=Security&phase=1

Vorausgesetzt, dies trifft auf Ihre Situation zu, scheinen Sie zwei Möglichkeiten zu haben (Zitat aus dem oben verlinkten Artikel):

  1. Legen Sie für die Verzeichnisdienst-Zugriffsüberwachung die Option „Keine Überwachung“ fest, um die Überwachungseinträge aus dem Sicherheitsereignisprotokoll zu entfernen.
  2. Gehen Sie in ADSIEDIT in die SCHEMA-Partition – UnixUserPassword – und ändern Sie unter den Suchattributen die Flags von 128 auf 0. Erzwingen Sie dann die Replikation.

Bei der Suche nach „Event-ID 566“ in Verbindung mit „uSNChanged“ konnte ich nichts offensichtlich Spezifischeres finden. Passen Sie die Anweisungen für die Attribute an Ihre Situation an.

Dies wird anderswo häufig erwähnt. Ich habe es selbst noch nicht geklärt, aber hoffentlich hilft es Ihnen weiter.

verwandte Informationen