Eventi di protezione per l'associazione degli eventi di accesso account di servizio

Traduzione articoli Traduzione articoli
Identificativo articolo: 274176 - Visualizza i prodotti a cui si riferisce l?articolo.
Questo articolo è stato precedentemente pubblicato con il codice di riferimento I274176
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In Windows 2000 e nelle versioni precedenti non è possibile associare un evento di accesso account (ID evento di protezione 528) a un evento di creazione di processo per molti processi, quali ad esempio i servizi. Tuttavia un amministratore può utilizzare l'ID di evento di protezione 600, incluso in Windows XP, per eseguire questa associazione. In questo articolo viene illustrato come interpretare il registro degli eventi di protezione in modo da capire questi eventi.

Informazioni

Se si sta eseguendo il controllo di eventi di accesso account, eventi di accesso e tracciati dei processi, ogni volta che un servizio verrà avviato da un account utente, verranno registrati i seguenti eventi:
  • Richiesto ticket Kerberos
    (Accesso account 672)
  • Rinnovato ticket Kerberos
    (Accesso account 673)
  • Accesso dell'account
    (Accesso/Fine sessione 528)
  • Avvio elaborazione servizio
    (Analisi dettagliata 592)
  • Account che ha avviato il servizio connesso
    (Analisi dettagliata 600)
Gli eventi di esempio riportati di seguito si verificano quando il servizio Registrazione licenze viene avviato utilizzando un account di dominio.

Richiesto ticket Kerberos

Tipo evento:  Operazioni riuscite
Causa evento:  Protezione
Categoria evento:  Accesso account 
ID evento:  672
Data:    08/14/2000
Ora:   05:13:02
Utente:   NT AUTHORITY\SYSTEM
Computer:  <nome computer>
Descrizione:
Richiesto ticket di autenticazione:
   Nome utente:    <nome utente>
   Nome area autenticazione fornito:  <nome area autenticazione>
   ID utente: <nome area autenticazione>\<nome utente>
   Nome servizio:  <nome servizio>
   ID servizio:  <nome area autenticazione>\<nome servizio>
   Opzioni ticket:    0x40810010
   Codice risultato:    -
   Tipo crittografia ticket:  0x17
   Tipo preautenticazione:  2
   Indirizzo client:   127.0.0.1

Rinnovato ticket Kerberos

Tipo evento:  Operazioni riuscite
Causa evento:  Protezione
Categoria evento:  Accesso account 
ID evento:   673
Data:  08/14/2000
Ora:  05:13:02
Utente:  NT AUTHORITY\SYSTEM
Computer:  <nome computer>
Descrizione:
Ticket di servizio concesso:
   Nome utente:   <nome utente>
   Dominio utente:  <nome dominio utente>
   Nome servizio:  <nome computer>$
   ID servizio:    <nome dominio utente>\<nome computer>$
   Opzioni ticket:    0x40810010
   Tipo crittografia ticket:  0x17
   Indirizzo client:    127.0.0.1

Accesso dell'account

Tipo evento:  Operazioni riuscite
Causa evento:  Protezione
Categoria evento:  Accesso/fine sessione
ID evento:  528
Data:  08/14/2000
Ora:  05:13:02
Utente:  <nome dominio utente>\<nome utente>
Computer:  <nome computer>
Descrizione:
Accesso alla rete riuscito:
   Nome utente: <nome utente>
   Dominio:  <nome dominio>
   ID accesso:  (0x0,0x1CBC6A)
   Tipo accesso:  5
   Processo di accesso:  Advapi  
   Pacchetto di autenticazione:  Negoziazione
   Nome workstation:  <nome computer>

Avvio elaborazione servizio

Tipo evento:  Operazioni riuscite
Causa evento:  Protezione
Categoria evento:  Analisi dettagliata
ID evento:  592
Data:  08/14/2000
Ora:  05:13:02
Utente:  NT AUTHORITY\SYSTEM
Computer:  <nome computer>
Descrizione:
È stato creato un nuovo processo:
   Nuovo ID del processo:  2064
   Nome del file immagine:  C:\WINDOWS\system32\llssrv.exe
   ID del processo creatore:  264
   Nome utente:  <nome computer>$
   Dominio:  <nome dominio>
   ID accesso: (0x0,0x3E7)

Account che ha avviato il servizio connesso

Tipo evento:  Operazioni riuscite
Causa evento:  Protezione
Categoria evento:  Analisi dettagliata 
ID evento: 600
Data:  08/14/2000
Ora: 05:13:02
Utente:  NT AUTHORITY\SYSTEM
Computer:  <nome computer>
Descrizione:
A un processo è stato assegnato un token primario. 
   ID processo:  2064
   Nome file immagine:  C:\WINDOWS\system32\llssrv.exe
   Nome utente:  <nome utente>
   Dominio:  <nome dominio>
   ID accesso: (0x0,0x1CBC6A)

Proprietà

Identificativo articolo: 274176 - Ultima modifica: mercoledì 3 ottobre 2001 - Revisione: 1.0
Le informazioni in questo articolo si applicano a
  • Microsoft Windows XP Professional Edition
Chiavi: 
kbinfo kbtool KB274176
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com