根據下面的ID,可以幫助我們快速識別由 Microsoft? Windows Server 2003 操作系統生成的安全事件,究竟意味著什麼事件出現了。
一、帳戶登錄事件
下面顯示了由“審核帳戶登錄事件”安全模板設置所生成的安全事件。
672:已成功頒發和驗證身份驗證服務 (AS) 票證。
673:授權票證服務 (TGS) 票證已授權。TGS 是由 Kerberos v5 票證授權服務 (TGS) 頒發的票證,允許用戶對域中的特定服務進行身份驗證。
674:安全主體已更新 AS 票證或 TGS 票證。
675:預身份驗證失敗。用戶鍵入錯誤的密碼時,密鑰發行中心 (KDC) 生成此事件。
676:身份驗證票證請求失敗。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。
677:TGS 票證未被授權。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。
678:帳戶已成功映射到域帳戶。
681:登錄失敗。嘗試進行域帳戶登錄。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。
682:用戶已重新連接至已斷開的終端服務器會話。
683:用戶未注銷就斷開終端服務器會話。
二、帳戶管理事件
下面顯示了由“審核帳戶管理”安全模板設置所生成的安全事件。
624:用戶帳戶已創建。
627:用戶密碼已更改。
628:用戶密碼已設置。
630:用戶帳戶已刪除。
631:全局組已創建。
632:成員已添加至全局組。
633:成員已從全局組刪除。
634:全局組已刪除。
635:已新建本地組。
636:成員已添加至本地組。
637:成員已從本地組刪除。
638:本地組已刪除。
639:本地組帳戶已更改。
641:全局組帳戶已更改。
642:用戶帳戶已更改。
643:域策略已修改。
644:用戶帳戶被自動鎖定。
645:計算機帳戶已創建。
646:計算機帳戶已更改。
647:計算機帳戶已刪除。
648:禁用安全的本地安全組已創建。
注意:
從正式名稱上講,SECURITY_DISABLED 意味著該組不能用來授權訪問檢查。
649:禁用安全的本地安全組已更改。
650:成員已添加至禁用安全的本地安全組。
651:成員已從禁用安全的本地安全組刪除。
652:禁用安全的本地組已刪除。
653:禁用安全的全局組已創建。
654:禁用安全的全局組已更改。
655:成員已添加至禁用安全的全局組。
656:成員已從禁用安全的全局組刪除。
657:禁用安全的全局組已刪除。
658:啟用安全的通用組已創建。
659:啟用安全的通用組已更改。
660:成員已添加至啟用安全的通用組。
661:成員已從啟用安全的通用組刪除。
662:啟用安全的通用組已刪除。
663:禁用安全的通用組已創建。
664:禁用安全的通用組已更改。
665:成員已添加至禁用安全的通用組。
666:成員已從禁用安全的通用組刪除。
667:禁用安全的通用組已刪除。
668:組類型已更改。
684:管理組成員的安全描述符已設置。
注意:
在域控制器上,每隔 60 分鐘,後台線程就會搜索管理組的所有成員(如域、企業和架構管理員),並對其應用一個固定的安全描述符。該事件已記錄。
685:帳戶名稱已更改。
