ID. de suceso 560 se registra cada vez que actualizar el registro de seguridad en Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 835398 - Ver los productos a los que se aplica este artículo
importante este artículo contiene información acerca de cómo modificar el Registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad del mismo y de que sabe cómo restaurarlo si ocurre algún problema. Para obtener información sobre cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

Resumen

IDENTIFICADOR de suceso 560 puede anotarse cada vez que actualizar el registro de seguridad en el Visor de sucesos. Este problema puede producirse cuando la configuración de directiva de grupo "Auditar el acceso a objetos" está configurada para auditoría correcta intenta tener acceso de escritura a un objeto que tiene una lista de control de acceso de sistema (SACL). Para resolver este problema, puede configurar la SACL en la subclave del registro que se anotó en el evento no registro correcta intenta tener acceso de escritura por miembros del grupo de administradores.

Síntomas

Al ver el registro de seguridad en el Visor de sucesos, puede anotarse un suceso similar al siguiente cada vez que actualizar el registro:

Tipo de suceso: Auditoría de aciertos
Origen del suceso: seguridad
Categoría del suceso: Acceso de objetos
ID. de suceso: 560
Usuario: NT AUTHORITY\SYSTEM
Descripción:
Objeto abierto:
Objeto Server: seguridad
Tipo de objeto: clave
Nombre del objeto: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Security
Controlar ID: 3240
ID. de operación: {0,112580708}
ID. de proceso: 768
Nombre de archivo de imagen: C:\WINDOWS\system32\services.exe
Nombre de usuario principal: UserName
Dominio principal: DomainName
ID. de inicio de sesión principal: (0 x 0, 0x3E7)
Nombre de usuario de cliente: UserName
Dominio de cliente: DomainName
ID. de inicio de sesión de cliente: (0 x 0, 0x3E7)
Accesos: Valor de clave de establecido
Privilegios:-
Restringido el número de SID: 0

Causa

Este problema puede producirse cuando la configuración de directiva de grupo "Auditar el acceso a objetos" está configurada para auditoría correcta intenta tener acceso de escritura a un objeto que tiene una lista de control de acceso de sistema (SACL).

Cuando el Visor de sucesos se actualiza la vista del registro, cierra y vuelve a abrir un identificador de la subclave del registro donde se encuentran la configuración para el registro de sucesos de seguridad. Este identificador solicita acceso de EstablecerValor. Esta solicitud activa la auditoría. De forma predeterminada, la SACL para esta subclave del registro audita todos los controladores de escritura a la subclave que se abran correctamente.

Solución

Para resolver este problema, configure la DACL para la clave del registro no iniciar correctamente intenta tener acceso de escritura cuando se realizan por los miembros del grupo Administradores o por otros usuarios que tienen permiso para ver el registro de sucesos de seguridad. Para ello, siga estos pasos para reemplazar todos cuenta con una cuenta que no contiene miembros del grupo Administradores.

Advertencia si utiliza incorrectamente el Editor del Registro, puede causar serios problemas que tal vez requieran volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar los problemas resultantes del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.
  1. Inicie el Editor del Registro.
  2. Busque y haga clic con el botón secundario en la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security
  3. Haga clic en permisos .
  4. Haga clic en Avanzadas .
  5. En la lista de entradas de auditoría , haga clic en el grupo que contiene a miembros del grupo Administradores. (Este grupo es más probable es que el grupo todos.) Haga clic en Modificar .
  6. Anote qué casillas de verificación están activadas en el cuadro acceso y, a continuación, haga clic en Cancelar .
  7. En la lista entradas de auditoría , haga clic en todos y, a continuación, haga clic en Quitar .

    importante Todos los usuarios no pueden aparecer en la lista de entradas de auditoría . Sin embargo, es importante para asegurarse de que la ACL no contiene un grupo que incluye a los administradores.
  8. Haga clic en Agregar .
  9. En el cuadro Seleccionar usuarios, equipos o grupos , escriba el nombre de un grupo que contiene todos los usuarios pero no incluye el grupo de administradores.

    Por ejemplo, escriba Usuarios del dominio y, a continuación, haga clic en Aceptar .
  10. Haga clic para seleccionar la misma comprobación casillas que estaban activadas en el cuadro acceso de todos grupo y, haga clic en Aceptar .

    Nota Éstos aparecen las casillas de verificación que anotó en el paso 6.
  11. Haga clic en Aceptar dos veces.
  12. Salga del Editor del Registro.

Solución

Para evitar este problema, siga estos pasos para configurar la directiva de grupo "Auditar el acceso a objetos" no para auditar los los intentos correctos para tener acceso de escritura.

Nota Esta configuración deshabilita todas las auditorías de acceso de objeto.
  1. Haga clic en Inicio , haga clic en Ejecutar , escriba gpedit.msc y, a continuación, haga clic en Aceptar para iniciar el Editor de objetos de directiva de grupo.
  2. En Directiva de equipo local , expanda Configuración de Windows , expanda Configuración de seguridad , expanda Directivas locales y, a continuación, haga clic en Directiva de auditoría .
  3. En el panel de detalles, haga doble clic en Auditar el acceso a objetos .
  4. En el cuadro de diálogo Auditar objeto el acceso a propiedades , haga clic en para desactivar la casilla de verificación correcto y la casilla de verificación error .
  5. Haga clic en Aceptar .
  6. Salga de editor de objetos de directiva de grupo.
Nota Este workround no funcionen si se aplica la directiva en el dominio.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:".

Propiedades

Id. de artículo: 835398 - Última revisión: martes, 27 de febrero de 2007 - Versión: 2.4
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
Palabras clave: 
kbmt kbmgmtservices kbgrppolicyprob kbprb KB835398 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 835398

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com