Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] Проблема с переполнением журнала Безопасность отказами с кодом 560

Ответить
Настройки темы
[решено] Проблема с переполнением журнала Безопасность отказами с кодом 560

Новый участник


Сообщения: 3
Благодарности: 0

Профиль | Отправить PM | Цитировать

Добрый день.

Имеется терминальный сервер Windows Server 2003 R2. Журнал Безопасность (размер 16МБ) за 20 секунд забивается сообщениями вида:

Цитата:
Тип события: Аудит отказов
Источник события: Security
Категория события: Доступ к объектам
Код события: 560
Дата: 04.05.2011
Время: 17:05:41
Пользователь: Имя_домена\Имя_пользователя
Компьютер: Имя_сервера
Описание:
Объект открыт:
Сервер объекта: SC Manager
Тип объекта: SC_MANAGER OBJECT
Имя объекта: ServicesActive
Код дескриптора: -
Код операции: {0,396505628}
Код процесса: 592
Имя файла рисунка: C:\WINDOWS\system32\services.exe
Основной пользователь: Имя_сервера$
Основной домен: Имя_домена
Основной код входа: (0x0,0x3E7)
Пользователь-клиент: Имя_пользователя
Домен клиента: Имя_домена
Код входа клиента: (0x0,0x8433CF)
Доступ: DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
Подключение к контроллеру службы
Создание новой службы
Перечисление служб
Блокировка базы данных службы для монопольного доступа
Запрос о состоянии блокировки базы данных службы
Установка последнего удачного состояния базы данных службы

Привилегии -
Ограничения: 0
Маска доступа: 0xF003F


Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp"
На сервере постоянно работает порядка 50 пользователей. Каждую секунду появляется порядка 1000 сообщений для каждого пользователя подобные приведенному выше. Имеются ещё 2 подобных сервера - на них проблема отсутствует. Сравнивал политики безопасности с этих серверов - разницы не обнаружил. Также проверялся состав локальных групп сервера - все идентично. Серверы используются для балансировки нагрузки - так что набор пользователей на них одинаковый. Было замечено, что отказы с кодом 560 отсутствуют только для пользователей входящих в группу администраторов сервера.

Прошу откликнуться тех, кто с данной проблемой уже сталкивался. Так же приму любые предположения, что могло вызвать данную проблему.

Отправлено: 14:41, 04-05-2011

 

Аватара для zero55

Ветеран


Сообщения: 723
Благодарности: 127

Профиль | Сайт | Отправить PM | Цитировать

это следствие работы приложения которое не получает доступа к службе.

Посмотрите что общего есть у этих сообщений из журнала.
Вполне возможно что под пользователем работает какой нибудь монитор служб

Отправлено: 15:16, 04-05-2011 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Ветеран


Сообщения: 4900
Благодарности: 496

Профиль | Сайт | Отправить PM | Цитировать

События аудита. Отключите, если он не нужен.
http://support.microsoft.com/kb/841001

-------
Если сообщение оказалось полезным, нажмите, пожалуйста, соответствующую кнопку.

Это сообщение посчитали полезным следующие участники:

Отправлено: 15:17, 04-05-2011 | #3


Новый участник


Сообщения: 3
Благодарности: 0

Профиль | Отправить PM | Цитировать

zero55, сравнивал события - отличаются только имя пользователя, код операции и время. Остальные данные остаются неизменными для всех событий. Есть ли возможность более конкретно узнать что за приложение и к каким ресурсам не может получить доступ?

monkkey, на эту статью натыкался при поиске возможного решения. Отключение - наиболее простой и часто рекомендуемый в Интернете способ, но в моем случае он неприемлем.

Отправлено: 15:45, 04-05-2011 | #4


Аватара для zero55

Ветеран


Сообщения: 723
Благодарности: 127

Профиль | Сайт | Отправить PM | Цитировать

BooRAn, имя пользователя который как я понимаю входит на терминальный сервер?
посмотрите нет ли чего интересного в автозагрузке.
Это сообщение посчитали полезным следующие участники:

Отправлено: 20:35, 04-05-2011 | #5


Новый участник


Сообщения: 3
Благодарности: 0

Профиль | Отправить PM | Цитировать

zero55, благодарю за подсказку. Сравнил процессы пользователей на двух серверах и обнаружил лишний. Утилитка одного из установленных принтеров села в автозапуск для All Users. Удалил её оттуда и проблемы прекратились.

Отправлено: 12:27, 05-05-2011 | #6



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] Проблема с переполнением журнала Безопасность отказами с кодом 560

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Обнародованы две видеокарты Galaxy GeForce GTX 560 Ti OSZone News Новости железа 0 24-01-2011 15:30
[решено] Функция _IECreate, проблема с переполнением памяти u-Art AutoIt 3 26-03-2010 18:53
замена кулера на PNY nVidia Quadro FX 560 elgendos Разгон, охлаждение и моддинг 0 10-03-2010 10:20
EventID - 560 странно... exo Устранение критических ошибок Windows 0 08-07-2008 12:44
Анализ журнала "Безопасность" Altaranenco Microsoft Windows NT/2000/2003 3 10-09-2007 17:23


« Предыдущая тема | Следующая тема »


 
Переход