ID do Evento 566 – Objetos Excluídos – Exchange Server

tag-icon tag-icon windows-server-2003 exchange windows-event-log audit
ID do Evento 566 – Objetos Excluídos – Exchange Server

Obtendo muitos deles em um dos logs de segurança dos DCs:

*Tipo de Evento: Auditoria de Falha
Origem do Evento: Segurança
Categoria do Evento: Acesso ao Serviço de Diretório
ID do Evento: 566
Data: 27/01/2010
Hora: 10:12:41
Usuário: Domínio\Exchangeserver$
Computador: DC
Descrição:
Operação de Objeto: Servidor de Objeto :
Tipo de operação DS : Acesso ao objeto
Tipo de objeto: contêiner
Nome do objeto: CN=Objetos excluídos,CN=Configuração,DC=Domínio,DC=local
ID do identificador: -
Nome do usuário principal: DC$
Domínio primário: ID de logon principal do domínio
: (0x0 ,0x3E7)
Nome de usuário do cliente: Exchangeserver$
Domínio do cliente: Domínio
ID de logon do cliente: (0x0,0x55A0BA34)
Acessos: Ler propriedade

Propriedades:

Conjunto de propriedades padrão
uSNChanged
Informações públicas
objectClass
container
Informações adicionais:
Informações adicionais2:
Máscara de acesso: 0x10*

A única coisa que notei é que há alguns SIDs simples exibidos nos direitos da caixa de correio (ADUC) para alguns de nossos usuários, que só posso assumir que são contas de usuários antigos que foram excluídas (o Sid para o usuário não será resolvido). Não tenho certeza se está relacionado.

Alguma ideia?

Obrigado

Responder1

Com base em algumas pesquisas no Google depois de encontrar isso, descobri que houve uma alteração no Windows 2003 que permitia que os atributos fossem marcados como confidenciais. Não tenho certeza se isso se aplica a “uSNChanged”.

Um exemplo de resultado (um grande sucesso do Google):

http://www.eventid.net/display.asp?eventid=566&eventno=4015&source=Security&phase=1

Supondo que isso se aplique à sua situação, você parece ter duas opções (citadas no artigo com link acima):

  1. Defina a Auditoria de Acesso ao Serviço de Diretório como sem auditoria para remover as entradas de auditoria do log de eventos de segurança.
  2. Em ADSIEDIT vá para a partição SCHEMA - UnixUserPassword - sob os atributos dos sinalizadores de pesquisa mude de 128 para 0 e então Force a replicação.

Não encontrei nada obviamente mais específico ao procurar “event id 566” junto com “uSNChanged”. Adapte as instruções aos atributos da sua situação.

Há muitas menções a isso em outros lugares. Eu não resolvi isso sozinho, mas espero que isso ajude sua situação.

informação relacionada