المقدمة
يصف هذا المستند معرف حدث الأمان 566 ومعرف حدث الأمان 4662، وما هو الإجراء الذي يمكن إتخاذه عند العثور عليهما. يمكن توقع حدوث هذه الأحداث على وحدات التحكم بالمجال أو خادم عضو يتم تشغيله كجزء من نشر Umbrella Insights.
ملاحظة: هذه الأحداث متوقعة وعادية. والإجراء المفضل والمدعوم هو عدم القيام بأي شيء وتجاهل هذه الأحداث.
Event ID: 566
Source: Security
Category: Directory Service Access
Type: Failure Audit
Description:
Object Operation:
Object Server: DS
Operation Type: Object Access
Object Type: user
Object Name: CN=USER1,OU=MyOU,DC=domain,DC=net
Handle ID: -
Primary User Name: DC1$
Primary Domain: DOMAIN1
Primary Logon ID: (0x0,0x3E7)
Client User Name: COMPUTER1$
Client Domain: DOMAIN1
Client Logon ID: (0x0,0x19540114)
Accesses: Control Access
Properties:
Private Information
msPKIRoamingTimeStamp
msPKIDPAPIMasterKeys
msPKIAccountCredentials
msPKI-CredentialRoamingTokens
Default property set
unixUserPassword
user
Additional Info:
Additional Info2:
Access Mask: 0x100
أو تتلقى معرف أمان حدث Windows 2008 هذا 4662.
Event ID: 4662
Type: Audit Failure
Category: Directory Service Access
Description:
An operation was performed on an object.
Subject :
Security ID: DOMAIN1\COMPUTER1$
Account Name: COMPUTER1$
Account Domain: DOMAIN1
Logon ID: 0x3a26176b
Object:
Object Server: DS
Object Type: user
Object Name: CN=USER1,OU=MyOU,DC=domain,DC=net
Handle ID: 0x0
Operation:
Operation Type: Object Access
Accesses: Control Access
Access Mask: 0x100
Properties: ---
{91e647de-d96f-4b70-9557-d63ff4f3ccd8}
{6617e4ac-a2f1-43ab-b60c-11fbd1facf05}
{b3f93023-9239-4f7c-b99c-6745d87adbc2}
{b8dfa744-31dc-4ef1-ac7c-84baf7ef9da7}
{b7ff5a38-0818-42b0-8110-d3d154c97f24}
{bf967aba-0de6-11d0-a285-00aa003049e2}
السبب
قام Windows 2008 بتقديم مجموعة خصائص جديدة تسمى معلومات خاصة تتضمن خصائص msPKI*. ومن خلال التصميم، يتم تأمين هذه الخصائص بطريقة يمكن للكائن الذاتي فقط من الوصول إليها. يمكنك إستخدام الأمر DSACLS للتحقق من الأذونات على الكائن حسب الحاجة.
قد يقودك التحقيق السريع إلى الاعتقاد بأن حدث التدقيق هذا ناجم عن محاولة الكتابة إلى هذه الخصائص المقيدة. وهذا واضح من حقيقة حدوث هذه الأحداث ضمن نهج تدقيق Microsoft الافتراضي الذي يقوم بتدقيق التغييرات (الكتابة) فقط ولا يقوم بتدقيق محاولات قراءة المعلومات من Active Directory.
ومع ذلك، فإن هذا ليس هو الحال، فحدث التدقيق يسرد بوضوح الإذن المطلوب كتحكم في الوصول (0x100). للأسف، لا يمكنك منح CA (Control Access) الإذن إلى مجموعة خصائص المعلومات الخاصة.
الحل
يمكنك تجاهل هذه الرسائل بأمان. هذا عن طريق التصميم.
لا يوصى باتخاذ أي إجراء لمنع ظهور هذه الأحداث. ومع ذلك، يتم تقديم هذه الخيارات كخيارات إذا أخترت تنفيذها. لا يوصى بأي من الحل البديل: الاستخدام على مسؤوليتك الخاصة.
الحلول
الطريقة 1
تعطيل كافة عمليات التدقيق في Active Directory عن طريق تعطيل إعداد تدقيق خدمة Active Directory في نهج وحدة التحكم بالمجال الافتراضي.
الطريقة 2
تستخدم العملية الأساسية التي تدير إذن التحكم بالوصول سمة searchFlags التي يتم تعيينها لكل خاصية (على سبيل المثال: msPKIRoamingTimeStamp). SearchFlags هو قناع وصول 10 بت. وهو يستخدم البت 8 (مع إحتساب من 0 إلى 7 في قناع وصول ثنائي = 100000 = 128 رقما عشريا) لتنفيذ مفهوم الوصول السري. يمكنك تعديل هذه السمة يدويا في مخطط AD وتعطيل الوصول السري لهذه الخصائص. وهذا يؤدي بعد ذلك إلى منع إنشاء سجلات تدقيق الفشل.
لتعطيل الوصول السري لأي خاصية في AD، أستخدم تحرير ADSI لإرفاقه بسياق تسمية المخطط في DC الذي يحتفظ بالدور الرئيسي للمخطط. اعثر على الخصائص المناسبة لتعديلها، قد يكون اسمها مختلفا قليلا عما هو موضح في معرف الحدث 566 أو 4662.
لتحديد القيمة الصحيحة لإدخال طرح 128 من قيمة SearchFlags الحالية، وأدخل النتيجة كقيمة جديدة ل searchFlags، وبالتالي 640-128 = 512. إذا كانت القيمة الحالية ل searchFlags < 128 لا تفعل شيئا، فقد يكون لديك الخاصية الخطأ أو أن الوصول السري لا يتسبب في حدث التدقيق.
قم بذلك لكل خاصية مدرجة في وصف معرف الحدث 566 أو 4662.
فرض النسخ المتماثل ل "المخطط الرئيسي" على وحدات التحكم بالمجال الأخرى، ثم التحقق من وجود أحداث جديدة.
تعديل نهج تدقيق المجال لعدم تدقيق حالات الفشل على هذه الخصائص:
والجانب السلبي لهذه الطريقة هو أنه قد يتم تقليل الأداء نظرا لارتفاع عدد إدخالات التدقيق التي يلزم إضافتها.
مزيد من المعلومات:
إن ترجمة GUID إلى أسماء الكائنات هو أمر سهل باستخدام محرك البحث جوجل أو أي محرك بحث آخر. هنا مثال على كيفية البحث باستخدام Google.
مثال: موقع:microsoft.com 91e647de-d96f-4b70-9557-d63ff4f3ccd8
{91e647de-d96f-4b70-9557-d63ff4f3ccd8} = مجموعة خصائص المعلومات الخاصة
{6617e4ac-a2f1-43ab-b60c-11fbd1facf05} = سمة ms-PKI-RoamingTimeStamp