Назад | Перейти на главную страницу

Событие с кодом 566 - удаленные объекты - сервер Exchange

Получение многих из них в одном из журналов безопасности контроллеров домена:

* Тип события: Аудит отказов
Источник события: Безопасность
Категория события: доступ к службе каталогов
ID события: 566
Дата: 27.01.2010
Время: 10:12:41
Пользователь: Домен \ Exchangeserver $
Компьютер: DC
Описание:
Операция объекта: Сервер объекта: DS
Тип операции: доступ к объекту
Тип объекта: контейнер
Имя объекта: CN = удаленные объекты, CN = конфигурация, DC = домен, DC = local
ID ручки: -
Основное имя пользователя: DC $
Основной домен: домен
Первичный идентификатор входа: (0x0,0x3E7)
Имя пользователя клиента: Exchangeserver $
Клиентский домен: домен
Идентификатор входа клиента: (0x0,0x55A0BA34)
Доступ: чтение собственности

Свойства:

Набор свойств по умолчанию
uSNChanged
Публичная информация
objectClass
контейнер
Дополнительная информация:
Дополнительная информация2:
Маска доступа: 0x10 *

Единственное, что я заметил, - это некоторые простые идентификаторы безопасности, отображаемые в правах почтового ящика (ADUC) для некоторых из наших пользователей, которые, как я могу предположить, являются старыми учетными записями пользователей, которые теперь были удалены (Sid для пользователя не разрешается). Не уверен, связано ли это.

Любые идеи?

Спасибо

После того, как я столкнулся с этим в Google, я обнаружил, что в Windows 2003 есть изменение, которое позволяет помечать атрибуты как конфиденциальные. Я не уверен, применимо ли это к «uSNChanged».

Один пример результата (лучший результат в Google):

http://www.eventid.net/display.asp?eventid=566&eventno=4015&source=Security&phase=1

Предполагая, что это применимо к вашей ситуации, у вас, похоже, есть два варианта (цитата из статьи, указанной выше):

  1. Установите для аудита доступа к службе каталогов значение без аудита, чтобы удалить записи аудита из журнала событий безопасности.
  2. В ADSIEDIT зайдите в раздел SCHEMA - UnixUserPassword - под атрибутами поиска поменяйте флаги со 128 на 0, затем принудительную репликацию.

Я не нашел ничего более конкретного, когда искал «идентификатор события 566» вместе с «uSNChanged». Адаптируйте инструкции к атрибутам в вашей ситуации.

Об этом много упоминается в других местах. Я сам не разобрался, но, надеюсь, это поможет в вашей ситуации.