ID de evento 566: objetos eliminados: Exchange Server

tag-icon tag-icon windows-server-2003 exchange windows-event-log audit
ID de evento 566: objetos eliminados: Exchange Server

Obteniendo muchos de estos en uno de los registros de seguridad de los DC:

*Tipo de evento: Auditoría de fallas
Origen del evento: Seguridad
Categoría del evento: Acceso al servicio de directorio
ID de evento: 566
Fecha: 27/01/2010
Hora: 10:12:41
Usuario: Dominio\Exchangeserver$
Computadora: DC
Descripción:
Operación del objeto: Servidor de objetos : DS
Tipo de operación: Acceso a objetos
Tipo de objeto: contenedor
Nombre de objeto: CN=Objetos eliminados,CN=Configuración,DC=Dominio,DC=local
ID de identificador: -
Nombre de usuario principal: DC$
Dominio principal: Dominio
ID de inicio de sesión principal: (0x0 ,0x3E7)
Nombre de usuario del cliente: Exchangeserver$
Dominio del cliente: Dominio
ID de inicio de sesión del cliente: (0x0,0x55A0BA34)
Accesos: Propiedad de lectura

Propiedades:

Conjunto de propiedades predeterminado
uSNChanged
Información pública
objetoContenedor
de clase
Información adicional:
Información adicional2:
Máscara de acceso: 0x10*

Lo único que he notado es que hay algunos SID simples que se muestran en los derechos del buzón (ADUC) para algunos de nuestros usuarios, que solo puedo asumir que son cuentas de usuarios antiguas que ahora se han eliminado (Sid al usuario no se resolverá). No estoy seguro si está relacionado.

¿Algunas ideas?

Gracias

Respuesta1

Después de buscar en Google después de encontrar esto, descubrí que había un cambio en Windows 2003 que permitía marcar los atributos como confidenciales. No estoy seguro de si esto se aplica a "uSNChanged".

Un resultado de ejemplo (uno de los principales resultados de Google):

http://www.eventid.net/display.asp?eventid=566&eventno=4015&source=Security&phase=1

Suponiendo que esto se aplique a su situación, parece que tiene dos opciones (citadas en el artículo vinculado anteriormente):

  1. Establezca Auditoría de acceso al servicio de directorio en sin auditoría para eliminar las entradas de auditoría del registro de eventos de seguridad.
  2. En ADSIEDIT, vaya a la partición SCHEMA - UnixUserPassword - bajo los atributos de los indicadores de búsqueda, cambie de 128 a 0 y luego fuerce la replicación.

No encontré nada obviamente más específico al buscar "id de evento 566" junto con "uSNChanged". Adapte las instrucciones a los atributos de su situación.

Hay muchas menciones de esto en otros lugares. No lo he solucionado yo mismo, pero espero que esto ayude a tu situación.

información relacionada