Windows Server 2003安全事件ID分析

核心提示： 637：成员已从本地组删除， 638：本地组已删除，Windows Server 2003安全事件ID分析(2)， 639：本地组帐户已更改， 641：全局组帐户已更改，后台线程就会搜索管理组的所有成员（如域、企业和架构管理员），并对其应用一个固定的安全描述符， 642：用户帐户已更改，

637：成员已从本地组删除。

638：本地组已删除。

639：本地组帐户已更改。

641：全局组帐户已更改。

642：用户帐户已更改。

643：域策略已修改。

644：用户帐户被自动锁定。

645：计算机帐户已创建。

646：计算机帐户已更改。

647：计算机帐户已删除。

648：禁用安全的本地安全组已创建。

注意：

从正式名称上讲，SECURITY_DISABLED 意味着该组不能用来授权访问检查。

649：禁用安全的本地安全组已更改。

650：成员已添加至禁用安全的本地安全组。

651：成员已从禁用安全的本地安全组删除。

652：禁用安全的本地组已删除。

653：禁用安全的全局组已创建。

654：禁用安全的全局组已更改。

655：成员已添加至禁用安全的全局组。

656：成员已从禁用安全的全局组删除。

657：禁用安全的全局组已删除。

658：启用安全的通用组已创建。

659：启用安全的通用组已更改。

660：成员已添加至启用安全的通用组。

661：成员已从启用安全的通用组删除。

662：启用安全的通用组已删除。

663：禁用安全的通用组已创建。

664：禁用安全的通用组已更改。

665：成员已添加至禁用安全的通用组。

666：成员已从禁用安全的通用组删除。

667：禁用安全的通用组已删除。

668：组类型已更改。

684：管理组成员的安全描述符已设置。

注意：

在域控制器上，每隔 60 分钟，后台线程就会搜索管理组的所有成员（如域、企业和架构管理员），并对其应用一个固定的安全描述符。该事件已记录。