Ereignis-IDs 560 und 562 werden oft in im Sicherheitsprotokoll der Ereignisanzeige angezeigt.

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 841001 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Nach dem Konfigurieren von Gruppenrichtlinien oder lokale Sicherheitsrichtlinie, um den Zugriff auf ein Objekt überwachen werden viele Ereignisse, die den folgenden Ereignissen ähneln im Sicherheitsprotokoll der Ereignisanzeige angezeigt:

Ereignisquelle: Sicherheit
Ereigniskategorie: Objektzugriff
Ereignis-ID: 560
Datum: date
Zeit: time
Typ: erfolgreich
Benutzer: EXAMPLE \ username
Computer: computer_name
Beschreibung:
Objekt geöffnet:
Objekt-Server: Sicherheit
Objekttyp: Object_Type
Objektname: Object_Type
Neue Zugriffsnummer-ID: 104
Vorgangs-ID: {0,252360}
Prozess-ID: 1156
Primärer Benutzername: username
Primäre Domäne: EXAMPLE
Primäre Anmelde-ID: (logon_ID)
Client-Benutzername:
Client-Domäne:
Client Anmelde-ID:
Zugriffe
<List of Accesses>
Berechtigungen



Ereignisquelle: Sicherheit
Ereigniskategorie: Objektzugriff
Ereignis-ID: 562
Datum: date
Zeit: time
Typ: erfolgreich
Benutzer: EXAMPLE \ username
Computer: computer_name
Beschreibung:
Handle geschlossen:
Objekt-Server: Sicherheit
Behandeln von ID: 104
Prozess-ID: 1156


Diese Ereignisse angezeigt, wenn Sie die Security Access Control List (SACL) konfiguriert haben, auf das Objekt, das Sie überwachen. Die Ereignisse werden auch angezeigt, wenn Sie die SACL konfiguriert haben, aber nicht für alle aufgelisteten Zugriffe. Beispielsweise diese Ereignisse werden protokolliert, wenn ein Benutzer oder ein Programm liest einen Registrierungsunterschlüssel, und Sie haben nicht das Lesezugriff oder das Kontrollkästchen Query-Wert im Eintrag für die Registrierungsunterschlüssel Überwachung ausgewählt.

Hinweis: Weitere Informationen zum Konfigurieren der Überwachung finden Sie im Abschnitt "Weitere Informationen".

Ursache

Dieses Problem kann auftreten, wenn eine der folgenden Bedingungen erfüllt ist:
  • Sie aktivieren die Einstellung der lokalen Sicherheitsrichtlinie überwachen den Zugriff auf globale Systemobjekte . Wenn Sie diese Einstellung aktivieren, werden viele Überwachungsereignisse generiert. Diese Ereignisse werden i. d. r. Quelle von Sicherheitsereignissen mit Ereignis-ID 560, wobei der Objekttyp-Ereignis, Mutant zu, Prozess, Abschnitt, Semaphore, Thread oder Token ist. Diese Ereignisse sind nur für ein Systementwickler von Interesse. In der Regel ist die Einstellung der lokalen Sicherheitsrichtlinie überwachen den Zugriff auf globale Systemobjekte nicht aktiviert.
  • Sie aktivieren die Überwachung auf einem Domänencontroller. Wenn Sie die Überwachung auf einem Domänencontroller aktivieren, werden Überwachungsereignisse generiert, die in der Regel Verweise auf die folgenden Objekttypen enthalten:
    • SAM_ALIAS
    • SAM_GROUP
    • SAM_USER
    • SAM_DOMAIN
    • SAM_SERVER
    Diese Ereignisse hinweisen, dass die Sicherheitskontenverwaltung (SAM)-Objekte Security Access Control Lists (SACL) haben und dass viele SAM Aktivität auftritt. In der Regel treten diese Ereignisse nur auf einem Domänencontroller.
  • Sie verwenden eine Anwendung, die überwachten Objekte zu häufig öffnet oder öffnet, die überwachten Objekte mit größer als die Anwendung erfordert Zugriff. Die Anwendung kann z. B. Vollzugriff anfordern, wenn die Anwendung nur Lesezugriff erforderlich ist. Wenn dieses Verhalten auftritt, möglicherweise Ereignisse generiert werden, wobei der referenzierte Prozess immer derselben Anwendung ist.

Lösung

Wenden Sie eines der folgenden Verfahren an, um dieses Problem zu beheben:

Methode 1

Deaktivieren Sie die Einstellung der lokalen Sicherheitsrichtlinie überwachen den Zugriff auf globale Systemobjekte , wenn Sie diese Einstellung zuvor aktiviert haben. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie gpedit.msc ein und klicken Sie dann auf OK .
  2. Suchen Sie den folgenden Eintrag:
    Konsole Root\Local Computer Policy\Computer Benutzerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\sicherheitsoptionen
  3. Doppelklicken Sie auf die Richtlinien der Zugriff auf globale Systemobjekte , klicken Sie unter Lokale Richtlinie auf deaktiviert , und klicken Sie dann auf OK .
  4. Im Menü Konsole klicken Sie auf Beenden , und starten Sie den Computer neu.

Methode 2

Verwenden Sie die ADSI-Bearbeitungs-Snap-in, um die Überwachungseinträge auf die SACL für eine SAM-Objekt entfernen, wenn Sie die Überwachung auf einem Domänencontroller aktiviert haben. Gehen Sie hierzu folgendermaßen vor.

Hinweis: Die ADSIEdit Snap-in im Ordner Support auf der Windows 2000-Installations-CD befindet.

Warnung Wenn Sie das ADSI Edit-Snap-In, das LDP-Dienstprogramm oder einen anderen LDAP 3-Client verwenden und die Attribute von Active Directory-Objekten unkorrekt ändern, kann dies schwerwiegende Probleme zur Folge haben. Diese Probleme können eine Neuinstallation von Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 oder sowohl von Windows als auch von Exchange erforderlich machen. Microsoft kann nicht dafür garantieren, dass Probleme, die ihre Ursache in einer unkorrekten Änderung von Active Directory-Objekten haben, behoben werden können. Es ist Ihr eigenes Risiko, diese Attribute zu ändern.
  1. Melden Sie sich auf den Domänencontroller mit einem Konto, das Domain Administrator Berechtigungen verfügt.
  2. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie adsiedit.msc ein und klicken Sie dann auf OK .
  3. Klicken Sie in der ADSIEdit Managementkonsole mit der rechten Maustaste auf ADSI Edit und klicken Sie dann auf verbinden, um .
  4. Im Dialogfeld Verbindung sicher, dass die DN -Option ausgewählt ist, und geben Sie Folgendes im Feld DN :
    CN = Server, CN = System, DC = Domain_Name, DC = Domain_Extension Aceholder innerhalb dieser Schritte.
  5. Die Option Standard (Domäne oder Server, der Sie angemeldet zu) und klicken Sie dann auf OK .
  6. Klicken Sie in der ADSIEdit-Verwaltungskonsole mit der Maustaste auf die CN = Server, CN = System, DC = Domain_Name, DC = Domain_Extension Ordner, und klicken Sie dann auf Eigenschaften .
  7. In der CN = Server, CN = System, DC = Domain_Name, DC = Domain_Extension Eigenschaften Dialogfeld Feld, klicken Sie auf die Registerkarte Sicherheit .
  8. Klicken Sie auf Erweitert , und klicken Sie die Registerkarte Überwachung .
  9. Deaktivieren Sie das Kontrollkästchen vererbbare Überwachungseinträge from Parent to propagate to this Object zulassen .
  10. Wenn Sie mit der folgenden Meldung aufgefordert werden, klicken Sie auf Entfernen .

    Sie sind verhindert, dass alle vererbbaren Überwachungseinträgen an dieses Objekt weitergegeben. Was möchten Sie tun?
  11. Klicken Sie zweimal auf OK um die Einstellung zu speichern und schließen Sie die CN = Server, CN = System, DC = Domain_Name, DC = Domain_Extension Eigenschaften im Dialogfeld.

Methode 3

Konfigurieren Sie die benutzerdefinierte Anwendung öffnen überwachten Objekten nur als erforderlich. Beispielsweise konfigurieren Sie die benutzerdefinierte Anwendung nur den minimalen Zugriff anfordern, der erforderlich ist. Wenn weisen Sie die benutzerdefinierte Anwendung nur Lesezugriff für ein bestimmtes Objekt erfordert, nur Lesezugriff. Vollzugriff ist in diesem Fall nicht erforderlich.

Weitere Informationen

Windows 2000 implementiert Überwachung basierend auf den Zugriff, der durch einen Benutzer oder ein Programm angefordert wird. Wenn ein Benutzer oder ein Programm auf ein Objekt mit einem Konto, das eine überwachbare Ebene des Zugriffs auf das Objekt hat zugreift, generiert Windows das entsprechenden Überwachungsereignis. Beispielsweise ist wenn konfigurieren Sie ein Programm mit Schreibzugriff auf ein Objekt, und Sie Überwachung für schreiben Ereignisse konfiguriert haben, ein Überwachungsereignis für Schreibzugriff generiert, sobald das Programm das Objekt zugreift. Dieses Verhalten auch wenn das Programm einen Schreibvorgang auf einen Registrierungsunterschlüssel nicht durchgeführt wird. In diesem Szenario wird dieses Überwachungsereignis generiert, da das Programm die Möglichkeit, in das Objekt schreiben.

Windows implementiert diese Überwachung Methode zum Verwalten der Einhaltung der Common Criteria Certification Standards und zuvor die C2-Zertifizierung-Standards. Zusätzliche Informationen C2 Audit Anforderungen finden Sie unter A Guide to Understanding in vertrauenswürdige Systeme überwachen . Dieses Handbuch anzeigen möchten, finden Sie auf der folgenden Webseite:
http://www.fas.org/irp/nsa/rainbow/tg001.htm
"Abschnitt 6.1.1 überwachbare Ereignisse" in diesem Handbuch enthält die folgenden beiden überwachbare Ereignisse:
  • Einführung von Objekten in Adressraum eines Benutzers
  • Löschen von Objekten aus Adressraum eines Benutzers
In Windows Ereignis-ID 560 stellt das erste Ereignis und Event ID 562 das zweite Ereignis dar.

Weitere Informationen zu den Common Criteria Certification Standards der folgenden Microsoft-Website:
http://technet.microsoft.com/en-us/library/cc700818.aspx
Weitere Informationen zum Überwachen von Registrierungsschlüsseln finden Sie die folgende KB-Artikelnummer:
315416Wie Sie Gruppenrichtlinien verwenden, um Registrierungsschlüssel in Windows 2000 überwachen
Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
816915Neues Schema für die Dateibenennung in Microsoft Windows-Softwareaktualisierungspaketen
824684Erläuterung von Standardbegriffen bei Microsoft Softwareupdates
Die Kontaktinformationen bezüglich der in diesem Artikel erwähnten Fremdanbieter sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Microsoft garantiert nicht die Genauigkeit dieser Kontaktinformationen von Drittanbietern.

Eigenschaften

Artikel-ID: 841001 - Geändert am: Dienstag, 27. März 2007 - Version: 2.6
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT 4.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 4.0 Standard Edition
Keywords: 
kbmt kbeventlog kbenv kbbug kbfix kbqfe kbwin2000presp5fix kbprb KB841001 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 841001
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com