Код события 566 — Удаленные объекты — Exchange Server

tag-icon tag-icon windows-server-2003 exchange windows-event-log audit
Код события 566 — Удаленные объекты — Exchange Server

В журнале безопасности одного из контроллеров домена много таких сообщений:

*Тип события: Аудит
сбоев Источник события: Безопасность
Категория события: Доступ к службе каталогов
ИД события: 566
Дата: 27/01/2010
Время: 10:12:41
Пользователь: Домен\Exchangeserver$
Компьютер: DC
Описание:
Операция объекта: Сервер объекта: DS
Тип операции: Доступ к объекту
Тип объекта: Контейнер
Имя объекта: CN=Удаленные объекты,CN=Конфигурация,DC=Домен,DC=локальный
ИД дескриптора: -
Основное имя пользователя: DC$
Основной домен: Домен
Основной идентификатор входа в систему: (0x0,0x3E7)
Имя пользователя клиента: Exchangeserver$
Домен клиента: Домен
Идентификатор входа в систему клиента: (0x0,0x55A0BA34)
Доступы: Чтение свойства

Характеристики:

Набор свойств по умолчанию
uSNChanged
Public Information
objectClass
container
Дополнительная информация:
Дополнительная информация2:
Маска доступа: 0x10*

Единственное, что я заметил, это то, что в правах почтового ящика (ADUC) для некоторых наших пользователей отображаются простые SID, которые, как я могу предположить, являются старыми учетными записями пользователей, которые теперь удалены (Sid для пользователя не будет разрешен). Не уверен, связано ли это.

Есть идеи?

Спасибо

решение1

Основываясь на некоторых поисковиках в Google после того, как я столкнулся с этим, я обнаружил, что в Windows 2003 было изменение, которое позволяло отмечать атрибуты как конфиденциальные. Я не уверен, применимо ли это к «uSNChanged».

Один из примеров результата (популярный результат в Google):

http://www.eventid.net/display.asp?eventid=566&eventno=4015&source=Security&phase=1

Если предположить, что это применимо к вашей ситуации, то у вас, по-видимому, есть два варианта (цитата из статьи, ссылка на которую приведена выше):

  1. Установите для параметра «Аудит доступа к службе каталогов» значение «Без аудита», чтобы удалить записи аудита из журнала событий безопасности.
  2. В ADSIEDIT перейдите в раздел SCHEMA - UnixUserPassword - в атрибутах поиска измените флаги со 128 на 0, затем принудительно выполните репликацию.

Я не нашел ничего более конкретного при поиске «идентификатор события 566» вместе с «uSNChanged». Адаптируйте инструкции для атрибутов в вашей ситуации.

Об этом много упоминаний в других местах. Я сам не разобрался, но надеюсь, это поможет вашей ситуации.

Связанный контент