непонятные записи в безопасности
 

Доброго времени суток всем.
Сегодня просматривал журнал в Win2003, там на вкладке безопасность нашел следующее событие
Объект открыт:
Сервер объекта: Security Account Manager
Тип объекта: SAM_ALIAS
Имя объекта: DOMAINS\Builtin\Aliases\00000220
Код дескриптора: 1218320
Код операции: {0,61666841}
Код процесса: 728
Имя файла рисунка: C:\WINDOWS\System32\LSASS.EXE
Основной пользователь: SERVER$
Основной домен: WORKGROUP
Основной код входа: (0x0,0x3E7)
Пользователь-клиент: Администратор
Домен клиента: SERVER
Код входа клиента: (0x0,0x103D81)
Доступ: AddMember
RemoveMember
ListMembers
ReadInformation

Привилегии -
Ограничения: 0
Маска доступа: 0xF
что это может быть если никакого SAM_ALIAS
Имя объекта: DOMAINS\Builtin\Aliases\00000220 в нашей сетке нет
З.Ы. двумя часами раннее была еще такая запись
Объект открыт:
Сервер объекта: Security Account Manager
Тип объекта: SAM_SERVER
Имя объекта: SAM
Код дескриптора: -
Код операции: {0,47648939}
Код процесса: 728
Имя файла рисунка: C:\WINDOWS\System32\LSASS.EXE
Основной пользователь: SERVER$
Основной домен: WORKGROUP
Основной код входа: (0x0,0x3E7)
Пользователь-клиент: АНОНИМНЫЙ ВХОД
Домен клиента: NT AUTHORITY
Код входа клиента: (0x0,0x2D71014)
Доступ: EnumerateDomains
LookupDomain

Привилегии -
Ограничения: 0
Маска доступа: 0x30

может кто знает что это?
и ещё в записи квот написано что этот самый Builtin превысил квоту на диске в 54 гига, хотя проверил с местом все в порядке.

Это описание Builtin- встроенных учетных записей.(см скрин). А т.к. система и все все остальное на сервере ставилось из-под админских учеток, то соответственно, встроенные учетные записи и будут владельцами всех непользовательских данных и на них считается квота.

Delirium, извините за может быть глупы вопрос:
Анонимный сеанс, подключенный с 189.58.116.132, попытался открыть дескриптор политики LSA на этом компьютере. Эта попытка была отклонена с кодом STATUS_ACCESS_DENIED для предотвращения передачи анонимному клиенту секретных сведений.
В отношении приложения, предпринявшего эту попытку, следует принять меры. Обратитесь к поставщику приложения. В качестве временного решения эту меру безопасности можно отключить, задав для параметра реестра

это я так понимаю кто то пытается из-вне проникнуть в мою сеть? и у него не получилось или нет?

Червь моежт быть в сети нет 2000 ос? может мсбласт.

В сети только win2003 и XP антивирус от eset Nod32 ничего не находит.

дмитрий0101, посмотрите в журнале событий на это сообщение, найдите там источник сообщения и код ошибки. Запишите и смотрите описание по данной проблеме на http://eventid.net, ну и сюда можно запостить скрин с предупреждением, посмотрим.

интересный сайтик, вощем код ошибки ID6033? источник LsaSrv, это так, кому интересно.
Вот пишут на сайте указанном выше: " "This event means than an anonymous caller tried to access the LSA policy
database. In this case, since the first parameter is "LOCALCOMPUTERNAME", I'm assuming that it's coming from a service on the machine running as LocalService (or LocalSystem, if the machine is not domain joined). You could look at network Logon events (528/540, logon type 3) for "Anonymous"
around the same time, to try to locate the logon and gather more information.

The event itself means that Windows did not disclose any information to the anonymous caller, so you only need to act on it if you're encountering some other symptom. However to make it go away, you need to find where it's coming from and have the application vendor issue a fix.""