Numéro d'article: 174073 - Dernière mise à jour: lundi 10 juillet 2006 - Version: 4.0

Audit de l'authentification des utilisateurs

Voir les produits auxquels s'applique cet article
A noterCet article s'applique à un système d'exploitation différent de celui que vous utilisez. Le contenu de l'article qui ne vous concerne peut-être pas est désactivé.

Sommaire

Agrandir tout | Réduire tout

Résumé

Cet article fournit des conseils permettant d'interpréter les événements d'audit de sécurité qui ont trait à l'authentification des utilisateurs.

Ces événements s'afficheront dans le journal d'événements de sécurité et seront enregistrés avec la source "Sécurité".
Retour au début

Plus d'informations

ID événement   Description
------------   -----------
   514         Un package d'authentification a été chargé par la LSA
   515         Un processus d'ouverture de session s'est fait reconnaître par la LSA
   518         Un package de notification a été chargé par le gestionnaire
               des comptes de sécurité
   528         Sessions acceptées
   529         Échec d'ouverture de session : nom d'utilisateur inconnu ou mot de passe incorrect
   530         Échec d'ouverture de session : violation de restriction des heures d'accès
   531         Échec d'ouverture de session : compte actuellement désactivé
   532         Échec d'ouverture de session : le compte utilisateur mentionné a expiré
   533         Échec d'ouverture de session : utilisateur non autorisé à se connecter sur cet ordinateur
   534         Échec d'ouverture de session : l'utilisateur ne bénéficie pas du type
               d'ouverture de session demandé sur cet ordinateur
   535         Échec d'ouverture de session : le mot de passe spécifié pour ce compte est expiré
   536         Échec d'ouverture de session : le composant NetLogon n'est pas actif
   537         Échec d'ouverture de session : erreur inattendue lors de l'ouverture de session
   538         Fermeture de la session utilisateur
   539         Échec d'ouverture de session : compte verrouillé
   644         Compte d'utilisateur verrouillé
Pour plus d'informations sur les événements de sécurité, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
174074  (http://support.microsoft.com/kb/174074/ ) Descriptions des événements de sécurité
Retour au début

ID de sécurité (SID)

Certains événements de sécurité mentionnent des identificateurs de sécurité (SID) au lieu de noms d'utilisateur. Le cas échéant, il est souvent difficile de déterminer le compte d'utilisateur auquel l'événement fait référence.

Vous pouvez générer une liste de correspondances entre noms d'utilisateur et SID en procédant comme suit :
  1. Effectuez une image mémoire de la liste d'utilisateurs dans un fichier texte à l'aide de la commande NET USERS ou de l'utilitaire Addusers.exe.
  2. Modifiez ce fichier texte pour retirer les informations inutiles (en-têtes, etc.).
  3. Modifiez la liste de noms d'utilisateurs ainsi obtenue en un fichier de commandes par lot en utilisant l'outil GETSID du kit de ressources pour convertir chaque nom d'utilisateur en SID. Redirigez la sortie vers un fichier texte.
  4. Lorsque vous rencontrez un SID, recherchez-le dans le fichier texte créé précédemment. Vous atteignez ainsi la ligne contenant le nom de l'utilisateur.
Retour au début

Type d'ouverture de session

Le type d'ouverture de session est l'un des suivants : 
   2  Interactive
   3  Réseau
   4  Traitement par lots
   5  Service
   6  Proxy
   7  Déverrouillage station de travail
   (0 et 1 ne sont pas valides)
Retour au début

Processus d'ouverture de session

Le processus d'ouverture de session est l'un des suivants : 
  "msv1_0" ou "MICROSOFT_AUTHENTICATION_PACKAGE_V1_0" :
     msv1_0.dll, le package d'authentification par défaut

  "KSecDD" :
     ksecdd.sys, le pilote de périphérique de gestion de sécurité

  "User32" ou "WinLogon\MSGina" :
     winlogon.exe et msgina.dll, l'interface utilisateur de l'authentification

  "SCMgr" :
     le gestionnaire de contrôle des services

  "Service Station de travail LAN Manager"

  "advapi"
   appel API à LogonUser

  "MS.RADIU" :
    le package d'authentification RADIUS, élément du service Microsoft IAS (Internet
    Authentication Services)
Retour au début

Droits de l'utilisateur

Pour plus d'informations sur l'audit des modifications des droits de l'utilisateur, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
163905  (http://support.microsoft.com/kb/163905/ ) Audit des modifications des droits de l'utilisateur
Retour au début

Informations supplémentaires

Pour plus d'informations sur l'authentification des utilisateurs, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
102716  (http://support.microsoft.com/kb/102716/ ) Authentification des utilisateurs avec Windows NT
Pour plus d'informations sur l'authentification sur les réseaux, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
122422  (http://support.microsoft.com/kb/122422/ ) Exemple d'ouverture de session à distance avec Windows NT Server
Retour au début
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionel
  • Microsoft Windows NT Workstation 3.5
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
  • Microsoft Windows NT Server 3.5
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
Retour au début
Mots-clés : 
kbinfo KB174073
Retour au début
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.