Je bent nu offline; er wordt gewacht tot er weer een internetverbinding is

Beveiligingsgebeurtenis voor het koppelen van aanmeldingsgebeurtenissen van serviceaccounts

De ondersteuning voor Windows XP is beëindigd

De ondersteuning voor Office 2003 is door Microsoft beëindigd op 8 april. Deze wijziging heeft gevolgen voor software-updates en beveiligingsopties. Meer informatie over wat voor gevolgen dit voor u heeft en hoe u beveiligd blijft.

Dit artikel is eerder gepubliceerd onder NL274176
Samenvatting
In Windows 2000 en eerdere versies van Windows is het niet mogelijk om een aanmeldingsgebeurtenis van een account (beveiligingsgebeurtenis-id 528) te koppelen aan een gebeurtenis van een gemaakt proces voor een groot aantal processen, zoals services. Een administrator kan echter beveiligingsgebeurtenis-id 600 (meegeleverd bij Windows XP) gebruiken om deze koppeling te maken. In dit artikel wordt beschreven hoe u het logboek met beveiligingsgebeurtenissen moet interpreteren om deze gebeurtenissen te kunnen begrijpen.
Meer informatie
Als u accountaanmeldingsgegevens, aanmeldingsgebeurtenissen en procesopsporing controleert, worden de volgende vijf gebeurtenissen geregistreerd als een service wordt gestart met een gebruikersaccount:
  • Verzoek om Kerberos-ticket
    (672 Account Logon)
  • Kerberos-ticket gegeven
    (673 Account Logon)
  • Account meldt zich aan
    (528 Logon/Logoff)
  • Serviceproces wordt gestart
    (592 Detailed Tracking)
  • Account die service heeft gestart, is geregistreerd
    (600 Detailed Tracking)
De volgende voorbeeldgebeurtenissen vinden plaats waar de License Logging-service is gestart met behulp van een domeinaccount.

Verzoek om Kerberos-ticket

Event Type:  Success AuditEvent Source:  SecurityEvent Category:  Account Logon Event ID:         672Date:    08/14/2000Time:    05:13:02User:    NT AUTHORITY\SYSTEMComputer:         <computer name>Description:Authentication Ticket Request:   User Name:    <user name>   Supplied Realm Name:  <realm name>   User ID:                  <realm name>\<user name>   Service Name:    <service name>   Service ID:    <realm name>\<service name>   Ticket Options:    0x40810010   Result Code:    -   Ticket Encryption Type:  0x17   Pre-Authentication Type:  2   Client Address:    127.0.0.1

Kerberos-ticket gegeven

Event Type:  Success AuditEvent Source:  SecurityEvent Category:  Account Logon Event ID:         673Date:    08/14/2000Time:    05:13:02User:    NT AUTHORITY\SYSTEMComputer:         <computer name>Description:Service Ticket Granted:   User Name:    <user name>   User Domain:    <user domain name>   Service Name:    <computer name>$   Service ID:    <user domain name>\<computer name>$   Ticket Options:    0x40810010   Ticket Encryption Type:  0x17   Client Address:    127.0.0.1

Account meldt zich aan

Event Type:  Success AuditEvent Source:  SecurityEvent Category:  Logon/Logoff Event ID:         528Date:    08/14/2000Time:    05:13:02User:    <user domain name>\<user name>Computer:         <computer name>Description:Successful Logon:   User Name:  <user name>   Domain:    <domain name>   Logon ID:    (0x0,0x1CBC6A)   Logon Type:  5   Logon Process:  Advapi     Authentication Package:  Negotiate   Workstation Name:  <computer name>

Serviceproces wordt gestart

Event Type:  Success AuditEvent Source:  SecurityEvent Category:  Logon/Logoff Event ID:         528Date:    08/14/2000Time:    05:13:02User:    <user domain name>\<user name>Computer:         <computer name>Description:Successful Logon:   User Name:  <user name>   Domain:    <domain name>   Logon ID:    (0x0,0x1CBC6A)   Logon Type:  5   Logon Process:  Advapi     Authentication Package:  Negotiate   Workstation Name:  <computer name>

Account die service heeft gestart, is geregistreerd

Event Type:  Success AuditEvent Source:  SecurityEvent Category:  Detailed Tracking Event ID:         600Date:    08/14/2000Time:    05:13:02User:    NT AUTHORITY\SYSTEMComputer:         <computer name>Description:A process was assigned a primary token.    Process ID:  2064   Image File Name:  C:\WINDOWS\system32\llssrv.exe   User Name:  <user name>   Domain:    <domain name>   Logon ID:    (0x0,0x1CBC6A)
Eigenschappen

Artikel-id: 274176 - Laatst bijgewerkt: 08/10/2001 13:37:00 - Revisie: 1.0

  • Microsoft Windows XP Professional Edition
  • kbinfo kbtool KB274176
Feedback