DC 보안 로그 중 하나에서 다음을 많이 얻습니다.
*이벤트 유형: 실패 감사
이벤트 원본: 보안
이벤트 범주: 디렉터리 서비스 액세스
이벤트 ID: 566
날짜: 27/01/2010
시간: 10:12:41
사용자: Domain\Exchangeserver$
컴퓨터: DC
설명:
개체 작업: 개체 서버 : DS
작업 유형: 개체 액세스
개체 유형: 컨테이너
개체 이름: CN=삭제된 개체,CN=구성,DC=도메인,DC=로컬
핸들 ID: -
기본 사용자 이름: DC$
기본 도메인: 도메인
기본 로그온 ID: (0x0 ,0x3E7)
클라이언트 사용자 이름: Exchangeserver$
클라이언트 도메인: 도메인
클라이언트 로그온 ID: (0x0,0x55A0BA34)
액세스: 속성 읽기
속성:
기본 속성 집합
uSNChanged
공개 정보
objectClass
컨테이너
추가 정보:
추가 정보2:
액세스 마스크: 0x10*
내가 발견한 유일한 점은 일부 사용자의 사서함 권한(ADUC)에 일반 SID가 표시된다는 것인데, 이는 현재 삭제된 이전 사용자 계정이라고 가정할 수 있습니다(사용자에 대한 SID는 확인되지 않음). 관련이 있는지 확실하지 않습니다.
어떤 아이디어가 있나요?
감사해요
답변1
이 문제를 접한 후 인터넷 검색을 통해 Windows 2003에서 속성을 기밀로 표시할 수 있는 변경 사항이 있음을 발견했습니다. 이것이 "uSNChanged"에 적용되는지 잘 모르겠습니다.
한 가지 결과 예(Google의 최고 히트작):
http://www.eventid.net/display.asp?eventid=566&eventno=4015&source=Security&phase=1
이것이 귀하의 상황에 적용된다고 가정하면 두 가지 옵션이 있는 것으로 보입니다(위에 링크된 기사에서 인용).
- 보안 이벤트 로그에서 감사 항목을 제거하려면 디렉터리 서비스 액세스 감사를 감사 없음으로 설정하세요.
- ADSIEDIT에서 SCHEMA 파티션(UnixUserPassword)으로 이동하여 검색 플래그 속성 아래에서 128에서 0으로 변경한 다음 강제 복제를 수행합니다.
“uSNChanged”와 함께 “event id 566”을 검색했을 때 더 구체적인 내용을 발견하지 못했습니다. 상황에 맞는 속성에 대한 지침을 적용하세요.
다른 곳에서도 이에 대한 언급이 많이 있습니다. 제가 직접 해결하지는 못했지만 이것이 귀하의 상황에 도움이 되기를 바랍니다.