主页 / server / 问题 / 1145839
Accepted
John Siu
Asked: 2023-10-14 02:00:12 +0800 CST

Windows 事件 ID 4735 但没有信息?

  • 772

我们收到很多事件 ID 4735,如下所示:

Subject:
    Security ID:        SYSTEM
    Account Name:       xxx$
    Account Domain:     xxx
    Logon ID:       0x3E7

Group:
    Security ID:        BUILTIN\Administrators
    Group Name:     Administrators
    Group Domain:       Builtin

Changed Attributes:
    SAM Account Name:   -
    SID History:        -

Additional Information:
    Privileges:     -
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{xxx}" />
    <EventID>4735</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>13826</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2023-10-13T16:56:50.930730000Z" />
    <EventRecordID>113144987</EventRecordID>
    <Correlation ActivityID="{xxx}" />
    <Execution ProcessID="840" ThreadID="10404" />
    <Channel>Security</Channel>
    <Computer>xxx</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="TargetUserName">Administrators</Data>
    <Data Name="TargetDomainName">Builtin</Data>
    <Data Name="TargetSid">S-xxx</Data>
    <Data Name="SubjectUserSid">S-xxx</Data>
    <Data Name="SubjectUserName">xxx$</Data>
    <Data Name="SubjectDomainName">xxx</Data>
    <Data Name="SubjectLogonId">0x3e7</Data>
    <Data Name="PrivilegeList">-</Data>
    <Data Name="SamAccountName">-</Data>
    <Data Name="SidHistory">-</Data>
  </EventData>
</Event>

根据文档,“此事件记录在 Active Directory 域本地组的域控制器上,以更改组中标识的安全本地组。” 但是,它似乎不包含有关更改内容的信息。“PrivilegeList”、“SamAccountName”、“SidHistory”均为“-”

我们在 DC 和成员服务器中都看到了这一点。

有人有线索吗?

windows

2 个回答

  1. Best Answer

    如果域组上发生这种情况,您可以启用目录服务更改审核。这需要在域控制器组策略以及要审核的对象(顶级域、站点和服务对象)上启用。

    5136 事件将记录在安全事件日志中以进行修改,并包括以前的值和新值。

    请注意,sidHistory 是一个多值属性。它也受到保护,并且通常在特殊的系统操作中更改。请注意,理想情况下这是不存在的,除非已从一个域迁移到另一个域,这通常是 sidHistory 唯一更新的时间。

    https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731764(v=ws.10)

    https://learn.microsoft.com/en-us/windows/win32/ad/using-dsaddsidhistory

    • 1

  2. 我相信“-”是有意的行为。“更改的属性:注意如果属性未更改,它将具有“-”值。”如此处所述https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4735

    还,

    “从 4735 事件中,您可以获得有关 sAMAccountName 和 sIDHistory 属性更改的信息,或者您将看到某些内容发生了变化,但无法看到到底发生了什么变化。”

    您可能还可以使用另一个事件。我会检查您当前的审核政策,看看此 4735 是否与任何其他事件相关。

    • 0

相关问题