Home
  •  

Des comptes portant le même SID ont été détectés - l'un d'eux a été supprimé

Accounts_with_the_same_SID_have_been_detected___one_has_been_deleted_5_Rule (Rule)

Knowledge Base article:

Résumé

Deux ou plusieurs objets connus ont le même attribut identificateur de sécurité (SID) dans la base de données du Gestionnaire des comptes de sécurité (SAM). Le compte le plus récent sera conservé et tous les anciens comptes dupliqués seront supprimés.

Il s'agit d'une règle de collecte pour l'un des rapports de service d'annuaire Active Directory®.

Exemple d'événement :

Il y a deux ou plusieurs objets connus ayant le même attribut SID dans la base de données SAM. Le nom unique du compte dupliqué est %1. Le compte le plus récent sera conservé et tous les anciens comptes dupliqués seront supprimés. Vérifiez si le journal d'événements contient des doublons additionnels.

Externe

Pour plus d'informations, voir :

Element properties:

TargetMicrosoft.Windows.Server.2012.R2.AD.DomainControllerRole
CategoryEventCollection
EnabledTrue
Event_ID12303
Event SourceMicrosoft-Windows-Directory-Services-SAM
Alert GenerateFalse
RemotableTrue
Event LogSystem
CommentMom2005ID='{1AC820FC-5E86-4077-ABD9-B95F263A8184}';MOM2005GroupID=

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
CollectEventData WriteAction Microsoft.SystemCenter.CollectEvent Default
CollectEventDataWarehouse WriteAction Microsoft.SystemCenter.DataWarehouse.PublishEventData Default

Source Code:

<Rule ID="Accounts_with_the_same_SID_have_been_detected___one_has_been_deleted_5_Rule" Comment="Mom2005ID='{1AC820FC-5E86-4077-ABD9-B95F263A8184}';MOM2005GroupID=" Enabled="true" Target="AD2012R2Core!Microsoft.Windows.Server.2012.R2.AD.DomainControllerRole" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>System</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>12303</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>Microsoft-Windows-Directory-Services-SAM</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="CollectEventData" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="CollectEventDataWarehouse" TypeID="SCDW!Microsoft.SystemCenter.DataWarehouse.PublishEventData"/>

  </WriteActions>

</Rule>