在其中一个 DC 安全日志中获取大量这些内容:
*事件类型:失败审核
事件源:安全
事件类别:目录服务访问
事件 ID:566
日期:27/01/2010
时间:10 :12:41
用户:域\Exchangeserver$
计算机:DC
描述:
对象操作:对象服务器: DS
操作类型: 对象访问
对象类型: 容器
对象名称: CN=Deleted Objects,CN=Configuration,DC=Domain,DC=local
Handle ID: -
Primary User Name: DC$
Primary Domain: Domain
Primary Logon ID: (0x0 ,0x3E7)
客户端用户名:Exchangeserver$
客户端域:域
客户端登录 ID:(0x0,0x55A0BA34)
访问:读取属性
特性:
默认属性集
uSNChanged
公共信息
objectClass
容器
Additional Info:
Additional Info2:
Access Mask: 0x10*
我注意到的唯一一件事是我们的一些用户的邮箱权限 (ADUC) 中显示了一些普通的 SID,我只能假设它们是现在已被删除的旧用户帐户(用户的 Sid 将无法解析)。不确定是否相关。
有任何想法吗?
谢谢
遇到此问题后,基于谷歌搜索,我发现 Windows 2003 中允许将属性标记为机密的更改。我不确定这是否适用于“uSNChanged”。
一个示例结果(谷歌热门):
http://www.eventid.net/display.asp?eventid=566&eventno=4015&source=Security&phase=1
假设这适用于您的情况,您似乎有两个选择(引自上面链接的文章):
在查找“event id 566”和“uSNChanged”时,我没有发现任何明显更具体的内容。根据您的情况调整属性的说明。
在其他地方有很多提到这一点。我自己还没有整理出来,但希望这对您的情况有所帮助。