Событие с кодом 566 - Удаленные объекты - Exchange Server

Question

Событие с кодом 566 - Удаленные объекты - Exchange Server

Получение много из них в одном из журнала безопасности контроллеров домена:

* Тип события: Аудит отказов
Источник события: Безопасность
Категория события: Доступ к службе каталогов
Код события: 566
Дата: 27.01.2010
Время: 10:12:41
Пользователь: Domain\Exchangeserver$
Компьютер: DC
Описание:
Операция объекта: Сервер объекта: DS
Тип операции: Доступ к объекту
Тип объекта: контейнер
Имя объекта: CN= удаленные объекты,CN= конфигурация,DC= домен,DC= локальный
ID ручки: -
Основное имя пользователя: DC$
Основной домен: домен
Основной идентификатор входа: (0x0,0x3E7)
Имя пользователя клиента: Exchangeserver$
Домен клиента: Домен
Идентификатор входа клиента: (0x0,0x55A0BA34)
Доступ: чтение собственности

Свойства:

Набор свойств по умолчанию
uSNChanged
Публичная информация
объектный
контейнер
Дополнительная информация:
Дополнительная информация2:
Маска доступа: 0x10*

Единственное, что я заметил, это то, что для некоторых наших пользователей есть некоторые простые идентификаторы SID, отображаемые в правах почтового ящика (ADUC), и я могу только предположить, что это старые учетные записи пользователей, которые теперь были удалены (Sid для пользователя не будет разрешен). Не уверен, что это связано.

Есть идеи?

Спасибо

0

windows-server-2003 exchange windows-event-log audit

Источник

Ethos 27 янв '10 в 15:31

1 ответ

Решение

Другие вопросы по тегам windows-server-2003 exchange windows-event-log audit

Jaharmi 18 янв '11 в 14:04 2011-01-18 14:04 · Accepted Answer · 2011-01-18 14:04

Основываясь на некотором поиске в Google после того, как я столкнулся с этим, я обнаружил, что в Windows 2003 произошло изменение, позволяющее помечать атрибуты как конфиденциальные. Я не уверен, относится ли это к "uSNChanged".

Один пример результата (популярный хит Google):

http://www.eventid.net/display.asp?eventid=566&eventno=4015&source=Security&phase=1

Предполагая, что это применимо к вашей ситуации, у вас, кажется, есть два варианта (цитируется по статье, приведенной выше):

Установите для параметра "Доступ к службе каталогов" значение "Нет аудита", чтобы удалить записи аудита из журнала событий безопасности.
В ADSIEDIT перейдите в раздел SCHEMA - UnixUserPassword - под атрибутами флагов поиска измените значение с 128 на 0, затем принудительная репликация.

Я не сталкивался с чем-то более конкретным, когда искал "идентификатор события 566" вместе с "uSNChanged". Адаптируйте инструкции для атрибутов в вашей ситуации.

Есть много упоминаний об этом в другом месте. Я сам не разобрался, но надеюсь, это поможет вашей ситуации.