У меня есть SQL-сервер, который является членом домена под управлением Windows 2008 R2. Это узел кластера в отказоустойчивом кластере. Журнал событий безопасности переполняется:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/17/2012 8:30:19 AM
Event ID: 4793
Task Category: Other Account Management Events
Level: Information
Keywords: Audit Success
User: N/A
Computer: SqlServer01.domain.com
Description:
The Password Policy Checking API was called.
Subject:
Security ID: DOMAIN\ClusterServiceAccount
Account Name: ClusterServiceAccount
Account Domain: Domain
Logon ID: 0xaaaaa
Additional Information:
Caller Workstation: SqlServer01
Provided Account Name (unauthenticated): -
Status Code: 0x0
Когда я говорю «затоплено», я имею в виду, что около 20 из этих событий регистрируются в журнале безопасности каждую секунду, что означает, что журнал безопасности теперь в значительной степени бесполезен, поскольку он заполняется этими событиями менее чем за час, и нет места ни для чего другого. .
Я нашел эта статья Technet об этом, что дает мне представление о том, как отключить его регистрацию, но вместо того, чтобы просто выключить регистрацию, я действительно хотел бы знать, что именно вызывает это, почему он это делает и как это сделать прекратить вызов API проверки политики паролей.
Ответил на свой вопрос. SQL вызывает этот Windows API очень быстро, если у вас есть определенные учетные записи служб, которые очень быстро попадают в базу данных, и если для этих учетных записей установлен флажок «Применять политику паролей». Вы можете либо остановить поведение, либо остановить его регистрацию с помощью GPO или локальной политики безопасности. Я решил остановить такое поведение, сняв флажок «Применять политику паролей» для определенных ключевых учетных записей службы SQL, и могу подтвердить, что мой журнал событий безопасности Windows снова находится под контролем.