在 DC 安全日誌之一上取得大量此類內容:
*事件類型:失敗審核
事件來源:安全
事件類別:目錄服務存取
事件 ID:566
日期:27/01/2010
時間:10:12:41
使用者:Domain\Exchangeserver$
電腦:DC
描述:
物件操作:物件伺服器: DS
操作類型:物件存取
物件類型:容器
物件名稱:CN=已刪除物件、CN=配置、DC=網域、DC=本機
句柄 ID:-
主使用者名稱:DC$
主域:網域
主登入ID:( 0x0 ,0x3E7)
客戶端使用者名稱:Exchangeserver$
客戶端網域:網域
用戶端登入 ID:(0x0,0x55A0BA34)
存取:讀取屬性
特性:
預設屬性集
uSNChanged
公共資訊
objectClass
容器
附加資訊:
附加資訊 2:
存取遮罩:0x10*
我唯一注意到的是,我們的一些用戶的郵箱權限 (ADUC) 中顯示了一些普通的 SID,我只能假設這些是現已刪除的舊用戶帳戶(用戶的 Sid 將無法解析)。不確定是否相關。
有任何想法嗎?
謝謝
答案1
遇到此問題後,根據一些谷歌搜索,我發現 Windows 2003 中進行了一項更改,允許將屬性標記為機密。我不確定這是否適用於“uSNChanged”。
一個範例結果(Google 熱門搜尋):
http://www.eventid.net/display.asp?eventid=566&eventno=4015&source=Security&phase=1
假設這適用於您的情況,您似乎有兩個選擇(引自上面連結的文章):
- 將目錄服務存取審核設定為無審核,以從安全性事件日誌中刪除審核項目。
- 在 ADSIEDIT 中,進入 SCHEMA 分割區 - UnixUserPassword - 將搜尋標誌屬性從 128 變更為 0,然後強制複製。
在尋找「事件 id 566」和「uSNChanged」時,我沒有發現任何明顯更具體的內容。根據您的情況調整屬性的說明。
其他地方有很多提到這一點。我自己還沒有解決這個問題,但希望這對您的情況有所幫助。