BooRAn
04-05-2011, 14:41
Добрый день.
Имеется терминальный сервер Windows Server 2003 R2. Журнал Безопасность (размер 16МБ) за 20 секунд забивается сообщениями вида:
Тип события: Аудит отказов
Источник события: Security
Категория события: Доступ к объектам
Код события: 560
Дата: 04.05.2011
Время: 17:05:41
Пользователь: Имя_домена\Имя_пользователя
Компьютер: Имя_сервера
Описание:
Объект открыт:
Сервер объекта: SC Manager
Тип объекта: SC_MANAGER OBJECT
Имя объекта: ServicesActive
Код дескриптора: -
Код операции: {0,396505628}
Код процесса: 592
Имя файла рисунка: C:\WINDOWS\system32\services.exe
Основной пользователь: Имя_сервера$
Основной домен: Имя_домена
Основной код входа: (0x0,0x3E7)
Пользователь-клиент: Имя_пользователя
Домен клиента: Имя_домена
Код входа клиента: (0x0,0x8433CF)
Доступ: DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
Подключение к контроллеру службы
Создание новой службы
Перечисление служб
Блокировка базы данных службы для монопольного доступа
Запрос о состоянии блокировки базы данных службы
Установка последнего удачного состояния базы данных службы
Привилегии -
Ограничения: 0
Маска доступа: 0xF003F
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp"
На сервере постоянно работает порядка 50 пользователей. Каждую секунду появляется порядка 1000 сообщений для каждого пользователя подобные приведенному выше. Имеются ещё 2 подобных сервера - на них проблема отсутствует. Сравнивал политики безопасности с этих серверов - разницы не обнаружил. Также проверялся состав локальных групп сервера - все идентично. Серверы используются для балансировки нагрузки - так что набор пользователей на них одинаковый. Было замечено, что отказы с кодом 560 отсутствуют только для пользователей входящих в группу администраторов сервера.
Прошу откликнуться тех, кто с данной проблемой уже сталкивался. Так же приму любые предположения, что могло вызвать данную проблему.
Имеется терминальный сервер Windows Server 2003 R2. Журнал Безопасность (размер 16МБ) за 20 секунд забивается сообщениями вида:
Тип события: Аудит отказов
Источник события: Security
Категория события: Доступ к объектам
Код события: 560
Дата: 04.05.2011
Время: 17:05:41
Пользователь: Имя_домена\Имя_пользователя
Компьютер: Имя_сервера
Описание:
Объект открыт:
Сервер объекта: SC Manager
Тип объекта: SC_MANAGER OBJECT
Имя объекта: ServicesActive
Код дескриптора: -
Код операции: {0,396505628}
Код процесса: 592
Имя файла рисунка: C:\WINDOWS\system32\services.exe
Основной пользователь: Имя_сервера$
Основной домен: Имя_домена
Основной код входа: (0x0,0x3E7)
Пользователь-клиент: Имя_пользователя
Домен клиента: Имя_домена
Код входа клиента: (0x0,0x8433CF)
Доступ: DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
Подключение к контроллеру службы
Создание новой службы
Перечисление служб
Блокировка базы данных службы для монопольного доступа
Запрос о состоянии блокировки базы данных службы
Установка последнего удачного состояния базы данных службы
Привилегии -
Ограничения: 0
Маска доступа: 0xF003F
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp"
На сервере постоянно работает порядка 50 пользователей. Каждую секунду появляется порядка 1000 сообщений для каждого пользователя подобные приведенному выше. Имеются ещё 2 подобных сервера - на них проблема отсутствует. Сравнивал политики безопасности с этих серверов - разницы не обнаружил. Также проверялся состав локальных групп сервера - все идентично. Серверы используются для балансировки нагрузки - так что набор пользователей на них одинаковый. Было замечено, что отказы с кодом 560 отсутствуют только для пользователей входящих в группу администраторов сервера.
Прошу откликнуться тех, кто с данной проблемой уже сталкивался. Так же приму любые предположения, что могло вызвать данную проблему.