| 653:禁用安全的全局组已创建。 654:禁用安全的全局组已更改。 655:成员已添加至禁用安全的全局组。 656:成员已从禁用安全的全局组删除。 657:禁用安全的全局组已删除。 658:启用安全的通用组已创建。 659:启用安全的通用组已更改。 660:成员已添加至启用安全的通用组。 661:成员已从启用安全的通用组删除。 662:启用安全的通用组已删除。 663:禁用安全的通用组已创建。 664:禁用安全的通用组已更改。 665:成员已添加至禁用安全的通用组。 666:成员已从禁用安全的通用组删除。 667:禁用安全的通用组已删除。 668:组类型已更改。 684:管理组成员的安全描述符已设置。 注意: 在域控制器上,每隔 60 分钟,后台线程就会搜索管理组的所有成员(如域、企业和架构管理员),并对其应用一个固定的安全描述符。该事件已记录。 685:帐户名称已更改。 三、目录服务访问事件 下面显示了由`审核目录服务访问`安全模板设置所生成的安全事件。 566:发生了一般对象操作。 四、登录事件ID 528:用户成功登录到计算机。 529:登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。 530:登录失败。试图在允许的时间外登录。 531:登录失败。试图使用禁用的帐户登录。 532:登录失败。试图使用已过期的帐户登录。 533:登录失败。不允许登录到指定计算机的用户试图登录。 534:登录失败。用户试图使用不允许的密码类型登录。 535:登录失败。指定帐户的密码已过期。 536:登录失败。Net Logon 服务没有启动。 537:登录失败。由于其他原因登录尝试失败。 注意: 在某些情况下,登录失败的原因可能是未知的。 538:用户的注销过程已完成。 539:登录失败。试图登录时,该帐户已锁定。 540:用户成功登录到网络。 541:本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式 Internet 密钥交换 (IKE) 身份验证已完成,或者快速模式已建立了数据频道。 542:数据频道已终止。 543:主要模式已终止。 注意: 如果安全关联的时间限制(默认为 8 小时)过期、策略更改或对等终止,则会发生此情况。 544:由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。 545:由于 Kerberos 失败或者密码无效,造成主要模式身份验证失败。 546:由于对等客户端发送的建议无效,造成 IKE 安全关联建立失败。接收到的程序包包含无效数据。 547:在 IKE 握手过程中,出现错误。 548:登录失败。来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配。 549:登录失败。在林内进行身份验证时,所有与不受信任的名称空间相关的 SID 将被筛选出去。 550:可以用来指示可能的拒绝服务 (DoS) 攻击的通知消息。 551:用户已启动注销过程。 552:用户使用明确凭据成功登录到作为其他用户已登录到的计算机。 682:用户已重新连接至已断开的终端服务器会话。 683:用户还未注销就断开终端服务器会话。注意:当用户通过网络连接到终端服务器会话时,就会生成此事件。该事件出现在终端服务器上。 |
