在其中一个 DC 安全日志中获取大量这些内容:
*事件类型:失败审核
事件源:安全
事件类别:目录服务访问
事件 ID:566
日期:27/01/2010
时间:10 :12:41
用户:域\Exchangeserver$
计算机:DC
描述:
对象操作:对象服务器: DS
操作类型: 对象访问
对象类型: 容器
对象名称: CN=Deleted Objects,CN=Configuration,DC=Domain,DC=local
Handle ID: -
Primary User Name: DC$
Primary Domain: Domain
Primary Logon ID: (0x0 ,0x3E7)
客户端用户名:Exchangeserver$
客户端域:域
客户端登录 ID:(0x0,0x55A0BA34)
访问:读取属性
特性:
默认属性集
uSNChanged
公共信息
objectClass
容器
Additional Info:
Additional Info2:
Access Mask: 0x10*
我注意到的唯一一件事是我们的一些用户的邮箱权限 (ADUC) 中显示了一些普通的 SID,我只能假设它们是现在已被删除的旧用户帐户(用户的 Sid 将无法解析)。不确定是否相关。
有任何想法吗?
谢谢