事件 ID 566 - 已刪除對象 - Exchange Server
在其中一個 DC 安全日誌中獲取大量這些內容:
*事件類型:失敗審核
事件來源:安全
事件類別:目錄服務訪問
事件 ID:566
日期:27/01/2010
時間:10 :12:41
使用者:域\Exchangeserver $
Computer: DC Description: Object Operation: Object Server: DS Operation Type: Object Access Object Type: container Object Name: CN=Deleted Objects,CN=Configuration,DC=Domain,DC=local Handle ID: - Primary User Name: DC $主域:域
主登錄 ID:(0x0,0x3E7)
客戶端使用者名:Exchangeserver$
客戶端域:域
客戶端登錄 ID:(0x0,0x55A0BA34)
訪問:讀取屬性
特性:
預設屬性集
uSNChanged
公共資訊
objectClass
容器
Additional Info:
Additional Info2:
Access Mask: 0x10*
我注意到的唯一一件事是我們的一些使用者的郵箱權限 (ADUC) 中顯示了一些普通的 SID,我只能假設它們是現在已被刪除的舊使用者帳戶(使用者的 Sid 將無法解析)。不確定是否相關。
有任何想法嗎?
謝謝
遇到此問題後,基於Google搜尋,我發現 Windows 2003 中允許將屬性標記為機密的更改。我不確定這是否適用於“uSNChanged”。
一個範例結果(Google熱門):
http://www.eventid.net/display.asp?eventid=566&eventno=4015&source=Security&phase=1
假設這適用於您的情況,您似乎有兩個選擇(引自上面連結的文章):
- 將目錄服務訪問審核設置為無審核以從安全事件日誌中刪除審核條目。
- 在 ADSIEDIT 中進入 SCHEMA 分區 - UnixUserPassword - 在搜尋標誌的屬性下從 128 更改為 0 然後強制複製。
在查找“event id 566”和“uSNChanged”時,我沒有發現任何明顯更具體的內容。根據您的情況調整屬性的說明。
在其他地方有很多提到這一點。我自己還沒有整理出來,但希望這對您的情況有所幫助。