4764 (S) A 群組的類型已變更。 (Windows 10)
文章推薦指數: 80 %
本文內容. 安全性監視建議. Event 4764 illustration. 子類別: 稽核安全性組管理. 事件描述: 每次變更群組的類型時,都會產生此事件。
跳到主要內容
已不再支援此瀏覽器。
請升級至MicrosoftEdge,以利用最新功能、安全性更新和技術支援。
下載MicrosoftEdge
其他資訊
目錄
結束焦點模式
閱讀英文
儲存
目錄
閱讀英文
儲存
意見反應
編輯
Twitter
LinkedIn
Facebook
電子郵件
目錄
4764(S):群組的類型已變更。
發行項
12/15/2021
1位參與者
本文內容
子類別: 稽核安全性組管理
事件描述:
每次變更群組的類型時,都會產生此事件。
此事件會同時產生安全性與通訊群組。
此事件只會在網域控制站上產生。
注意: 如需建議,請參閱此事件的安全性監視建議。
事件XML:
-
最低作業系統版本:Windows伺服器2008。
事件版本:0。
欄位描述:
主旨:
安全性識別碼[Type=SID]:要求「變更群組類型」作業的帳戶SID。
事件檢視器會自動嘗試解析SID,並顯示帳戶名稱。
如果無法解析SID,您會在事件中看到來源資料。
注意 安全性識別碼(SID)是用來識別信任者(安全性主體)的唯一可變長度值。
每個帳戶都有一個由授權單位(例如ActiveDirectory網網域控制站)所發行的唯一SID,並且儲存在安全性資料庫中。
每次使用者登入時,系統就會從資料庫中擷取該使用者的SID,並將其放在該使用者的存取權杖中。
系統會在存取權杖中使用SID,以在後續所有與Windows安全性的互動中識別使用者。
當SID已用來作為使用者或群組的唯一識別碼時,就不能再用於識別其他使用者或群組。
如需有關SID的詳細資訊,請參閱安全性識別碼。
帳戶名稱[Type=UnicodeString]:要求進行「變更群組類型」作業的帳戶名稱。
帳戶網域[類型=UnicodeString]:主體的網域或電腦名稱。
格式會有所不同,且包含下列項目:
網域NETBIOS名稱範例:CONTOSO
小寫的完整網域名稱:contoso.local
大寫的完整網域名稱:CONTOSO.LOCAL
針對某些眾所周知的安全主體(例如LOCALSERVICE或ANONYMOUSLOGON),此欄位的值為“NTAUTHORITY”。
針對本機使用者帳戶,此欄位會包含此帳戶所屬電腦或裝置的名稱,例如:"Win81"。
登入識別碼[類型=HexInt64]:十六進位值,用來協助您將此事件與可能包含在相同登入識別碼中的最新事件建立關聯,例如:「4624:帳戶已成功登入」。
ChangeType[Type=UnicodeString]:包含三個部分變更為
這兩個參數可以具有下列值(它們不能同時有相同的值):
安全性已停用的LocalGroup
安全性已停用通用群組
安全性已停用全域群組
已啟用安全性的LocalGroup
已啟用安全性的通用群組
已啟用安全性的全域群組
群組:
安全性識別碼[Type=SID]:已變更群組的SID。
事件檢視器會自動嘗試解決SID,並顯示組名。
如果無法解析SID,您會在事件中看到來源資料。
組名[Type=UnicodeString]:已變更類型之組名。
例如:ServiceDesk
群組網域[Type=UnicodeString]:已變更群組的網域或電腦名稱稱。
格式會有所不同,且包含下列項目:
網域NETBIOS名稱範例:CONTOSO
小寫的完整網域名稱:contoso.local
大寫的完整網域名稱:CONTOSO.LOCAL
對於本地群組,此欄位會包含此新群組所屬的電腦名稱稱,例如:「Win81」。
內建群組:內建
其他資訊:
許可權[Type=UnicodeString]:作業期間使用的使用者許可權清單,例如SeBackupPrivilege。
此參數可能無法在事件中捕獲,在這種情況下會顯示為"-"。
請參閱「表格8」中的使用者許可權完整清單。
使用者許可權。
」。
安全性監視建議
針對4764(S):群組的類型已變更。
重要事項 針對此事件,另請參閱附錄A:許多稽核事件的安全監控建議。
如果您有組織中重要的本地或網域群組清單,而且需要特別監控這些群組的任何變更,尤其是群組類型變更,請以對應至重要通訊群組的「群組**\組**名」值監控事件。
重要本地或網域群組的範例包括內建的本地系統管理員群組、網域系統管理員、企業系統管理員、重要通訊群組等等。
如果您需要監控每次變更任何群組的類型,以查看誰變更了群組,以及何時變更,請監控此事件。
一般來說,此事件會做為資訊事件,並需要時進行審查。
意見反應
提交並檢視相關的意見反應
本產品
本頁
檢視所有頁面意見反應
本文內容
