none
普通AD用户 登录源为DC服务器? RRS feed

  • 问题

  • DC服务器,普通用户test,最近发现test账户频繁登录,并且工作站为DC,请问为什么?如何解决?

    因最近邮件服务器被中继过,我怀疑是此账号引起的,因为禁用此账号后exchange队列中就不再产生垃圾邮件队列了。

    在线急等,请大侠赐教!多谢!

    注:DC系统为Win2003,应用是Exchange 2003。
          AAA为域名,AAA01为DC Server。

    事件类型:        审核成功

    事件来源:        Security

    事件种类:        登录/注销

    事件 ID: 552

    日期:                 2011-2-22

    事件:                 16:03:51

    用户:                 NT AUTHORITY\SYSTEM

    计算机:   AAA01

    描述:

    使用明确凭据的登录尝试:

     登录的用户:

            用户名:   AAA01$

            :             AAA

            登录 ID:           (0x0,0x3E7)

            登录 GUID:     {41a26f1a-a4e5-e810-9337-e519501fc74c}

     凭据被使用的用户:

            目标用户名:   test

            目标域:   AAA

            目标登录 GUID: -

     

     目标服务器名称: localhost

     目标服务器信息: localhost

     调用方进程 ID:    1872

     源网络地址: -

     源端口: -

     

    有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

     

     

    事件类型:        审核成功

    事件来源:        Security

    事件种类:        登录/注销

    事件 ID: 540

    日期:                 2011-2-22

    事件:                 16:03:51

    用户:                 AAA\test

    计算机:   AAA01

    描述:

    成功的网络登录:

            用户名:   test

            :             AAA

            登录 ID:           (0x0,0x4464395)

            登录类型:        3

            登录过程:        Advapi 

            身份验证数据包:   MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

            工作站名:        AAA01

            登录 GUID:     -

            调用方用户名:        AAA01$

            调用方域:        AAA

            调用方登录 ID:      (0x0,0x3E7)

            调用方进程 ID: 1872

            传递服务: -

            源网络地址:   -

            源端口:   -

     

    有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

     

     

    事件类型:        审核成功

    事件来源:        Security

    事件种类:        登录/注销

    事件 ID: 538

    日期:                 2011-2-22

    事件:                 16:03:51

    用户:                 AAA\test

    计算机:   AAA01

    描述:

    用户注销:

            用户名:   test

            :             AAA

            登录 ID:           (0x0,0x4462E03)

            登录类型:        3

     

    有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

     

     

    事件类型:        审核成功

    事件来源:        Security

    事件种类:        帐户登录

    事件 ID: 680

    日期:                 2011-2-22

    事件:                 16:03:52

    用户:                 AAA\test

    计算机:   AAA01

    描述:

    尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

     登录帐户:  test

     源工作站:    AAA01

     错误代码:    0x0

     

    有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。 

    2011年2月22日 15:54

答案

  • 事件 ID: 552 用户以不同用户登陆时,可使用显式凭据成功登陆到时计算机。

    事件 ID: 540 用户已成功登陆到网络,IKE验证已在本地计算机和列出的对等客户端之间建立安全联系。

    事件 ID: 538 完用户注销过程

    把这具帐号重建试一下,有可能中毒了

    2011年2月23日 7:54