[ZT]Windows 2003安全事件ID分析(1)

利用Windows Server 2003的安全事件ID可以帮助我们快速识别由Windows Server 2003 操作系统生成的安全事件，究竟意味着什么事件出现了。可以帮助网友更好地维护和管理Windows 2003操作系统环境。

　　根据下面的ID，可以帮助我们快速识别由 Microsoft? Windows Server 2003 操作系统生成的安全事件，究竟意味着什么事件出现了。

　　一、帐户登录事件

　　下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。

　　672：已成功颁发和验证身份验证服务 (AS) 票证。

　　673：授权票证服务 (TGS) 票证已授权。TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证，允许用户对域中的特定服务进行身份验证。

　　674：安全主体已更新 AS 票证或 TGS 票证。

　　675：预身份验证失败。用户键入错误的密码时，密钥发行中心 (KDC) 生成此事件。

　　676：身份验证票证请求失败。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

　　677：TGS 票证未被授权。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

　　678：帐户已成功映射到域帐户。

　　681：登录失败。尝试进行域帐户登录。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

　　682：用户已重新连接至已断开的终端服务器会话。

　　683：用户未注销就断开终端服务器会话。

　　二、帐户管理事件

　　下面显示了由“审核帐户管理”安全模板设置所生成的安全事件。

　　624：用户帐户已创建。

　　627：用户密码已更改。

　　628：用户密码已设置。

　　630：用户帐户已删除。

　　631：全局组已创建。

　　632：成员已添加至全局组。

　　633：成员已从全局组删除。

　　634：全局组已删除。

　　635：已新建本地组。

　　636：成员已添加至本地组。

　　637：成员已从本地组删除。

　　638：本地组已删除。

　　639：本地组帐户已更改。

　　641：全局组帐户已更改。

　　642：用户帐户已更改。

　　643：域策略已修改。

　　644：用户帐户被自动锁定。

　　645：计算机帐户已创建。

　　646：计算机帐户已更改。

　　647：计算机帐户已删除。

　　648：禁用安全的本地安全组已创建。

　　注意：

　　从正式名称上讲，SECURITY_DISABLED 意味着该组不能用来授权访问检查。

　　649：禁用安全的本地安全组已更改。

　　650：成员已添加至禁用安全的本地安全组。

　　651：成员已从禁用安全的本地安全组删除。

　　652：禁用安全的本地组已删除。

　　653：禁用安全的全局组已创建。

　　654：禁用安全的全局组已更改。

　　655：成员已添加至禁用安全的全局组。

　　656：成员已从禁用安全的全局组删除。

　　657：禁用安全的全局组已删除。

　　658：启用安全的通用组已创建。

　　659：启用安全的通用组已更改。

　　660：成员已添加至启用安全的通用组。

　　661：成员已从启用安全的通用组删除。

　　662：启用安全的通用组已删除。

　　663：禁用安全的通用组已创建。

　　664：禁用安全的通用组已更改。

　　665：成员已添加至禁用安全的通用组。

　　666：成员已从禁用安全的通用组删除。

　　667：禁用安全的通用组已删除。

　　668：组类型已更改。

　　684：管理组成员的安全描述符已设置。

　　注意：

　　在域控制器上，每隔 60 分钟，后台线程就会搜索管理组的所有成员(如域、企业和架构管理员)，并对其应用一个固定的安全描述符。该事件已记录。

　　685：帐户名称已更改。