83319
16.02.2012
3902
1
0
Security Log wird vom Ereignis 565 geflutet
Guten Morgen,
bei einem unserer Server (DC) wird seit einiger Zeit das Security Log regelrecht mit dem Eriegnis 565 geflutet. Meine bisherigen Recherchen im Netz brachten nicht wirklich Erfolg. Deshalb meine Frage ob dies einer von euch schon mal hatte bzw weiss was dies auslösen kann.
Es handelt sich um einen Server2003SP2 der als DC und Fileserver agiert. Hier der Auszug aus dem SecLog:
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 10.02.2012
Zeit: 10:31:38
Benutzer: Domain\ATL251$
Computer: ATLSERVER
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_USER
Objektname: S-1-5-21-2963848289-1292591961-2548261079-1475
Handlekennung: 148612440
Vorgangskennung: {0,3567863663}
Prozesskennung: 436
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: SERVER$
Primäre Domäne: Domain
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: ATL251$
Clientdomäne: Domain
Clientanmeldekennung: (0x0,0xD4A942C4)
Zugriffe READ_CONTROL
Einstellungen schreiben
Konto lesen
Kennwort setzen (mit Kenntnis des alten Kennworts)
Berechtigungen -
Eigenschaften:
---
user
READ_CONTROL
Einstellungen schreiben
Konto lesen
Kennwort setzen (mit Kenntnis des alten Kennworts)
General Information
codePage
countryCode
objectSid
primaryGroupID
sAMAccountName
comment
displayName
Account Restrictions
accountExpires
pwdLastSet
userAccountControl
userParameters
Logon Information
badPwdCount
homeDirectory
homeDrive
lastLogoff
lastLogon
logonCount
logonHours
logonWorkstation
profilePath
scriptPath
Public Information
description
Group Membership
memberOf
Reset Password
%{7ed84960-ad10-11d0-8a92-00aa006e0529}
READ_CONTROL
Einstellungen schreiben
Konto lesen
Kennwort setzen (mit Kenntnis des alten Kennworts)
Gruppen auflisten
Change Password
Zugriffsmaske: 0
Besten Dank schonmal
bei einem unserer Server (DC) wird seit einiger Zeit das Security Log regelrecht mit dem Eriegnis 565 geflutet. Meine bisherigen Recherchen im Netz brachten nicht wirklich Erfolg. Deshalb meine Frage ob dies einer von euch schon mal hatte bzw weiss was dies auslösen kann.
Es handelt sich um einen Server2003SP2 der als DC und Fileserver agiert. Hier der Auszug aus dem SecLog:
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 10.02.2012
Zeit: 10:31:38
Benutzer: Domain\ATL251$
Computer: ATLSERVER
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_USER
Objektname: S-1-5-21-2963848289-1292591961-2548261079-1475
Handlekennung: 148612440
Vorgangskennung: {0,3567863663}
Prozesskennung: 436
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: SERVER$
Primäre Domäne: Domain
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: ATL251$
Clientdomäne: Domain
Clientanmeldekennung: (0x0,0xD4A942C4)
Zugriffe READ_CONTROL
Einstellungen schreiben
Konto lesen
Kennwort setzen (mit Kenntnis des alten Kennworts)
Berechtigungen -
Eigenschaften:
---
user
READ_CONTROL
Einstellungen schreiben
Konto lesen
Kennwort setzen (mit Kenntnis des alten Kennworts)
General Information
codePage
countryCode
objectSid
primaryGroupID
sAMAccountName
comment
displayName
Account Restrictions
accountExpires
pwdLastSet
userAccountControl
userParameters
Logon Information
badPwdCount
homeDirectory
homeDrive
lastLogoff
lastLogon
logonCount
logonHours
logonWorkstation
profilePath
scriptPath
Public Information
description
Group Membership
memberOf
Reset Password
%{7ed84960-ad10-11d0-8a92-00aa006e0529}
READ_CONTROL
Einstellungen schreiben
Konto lesen
Kennwort setzen (mit Kenntnis des alten Kennworts)
Gruppen auflisten
Change Password
Zugriffsmaske: 0
Besten Dank schonmal
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 180609
Url: https://administrator.de/contentid/180609
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
1 Kommentar
Hallo,
ich weiss zwar nicht welcher Fehler das ist, aber ich habe hier eine Seite die in Sachen eventlog immer sehr hilfreich ist : http://www.eventid.net
Ich hoffe ich konnte dir ein bisschen weiter helfen.
Freundliche Grüße
tmystr
ich weiss zwar nicht welcher Fehler das ist, aber ich habe hier eine Seite die in Sachen eventlog immer sehr hilfreich ist : http://www.eventid.net
Ich hoffe ich konnte dir ein bisschen weiter helfen.
Freundliche Grüße
tmystr
