Что такое событие безопасности 4733 в Windows. Когда оно генерируется. Какую информацию содержит. Как его анализировать и использовать для мониторинга безопасности. На что обратить внимание при просмотре журналов с этим событием.
Что представляет собой событие безопасности 4733 в Windows
Событие безопасности 4733 генерируется в Windows каждый раз, когда участник удаляется из локальной группы безопасности. Это важное событие для мониторинга изменений в составе привилегированных групп.
Ключевые особенности события 4733:
- Фиксирует факт удаления пользователя или другой учетной записи из локальной группы безопасности
- Содержит информацию о том, кто именно был удален и из какой группы
- Регистрируется на контроллерах домена, серверах и рабочих станциях
- Для каждого удаленного участника создается отдельное событие
Когда и где генерируется событие 4733
Событие 4733 создается в следующих случаях:
- Администратор удаляет пользователя из локальной группы через оснастку «Локальные пользователи и группы»
- Выполняется скрипт или программа, удаляющая участника группы через API Windows
- Групповая политика применяет изменения в составе локальных групп
Это событие регистрируется в журнале безопасности Windows и доступно для просмотра через стандартные средства, такие как «Просмотр событий».
Структура и содержание события 4733
Событие 4733 содержит следующие основные блоки информации:
Субъект (инициатор операции)
- SID — идентификатор безопасности учетной записи, выполнившей удаление
- Имя учетной записи
- Домен учетной записи
- Идентификатор входа
Удаленный участник
- SID удаленного участника
- Имя удаленного участника (обычно в формате различающегося имени)
Группа
- SID группы, из которой удален участник
- Имя группы
- Домен группы
Как анализировать событие 4733
При анализе события 4733 следует обратить внимание на следующие аспекты:- Кто инициировал удаление (поле Subject\Security ID)
- Из какой группы был удален участник (поле Group\Group Name)
- Кто именно был удален (поле Member\Security ID)
- Время совершения операции
Важно сопоставлять это событие с другими связанными событиями безопасности, например:
- 4732 — добавление участника в группу
- 4735 — изменение локальной группы безопасности
Рекомендации по мониторингу события 4733
При настройке мониторинга события 4733 рекомендуется:
- Отслеживать удаление участников из критически важных групп (например, локальных администраторов)
- Контролировать использование привилегированных учетных записей для таких операций
- Анализировать нетипичное время или частоту удаления участников
- Сопоставлять с запросами на изменение прав доступа
Потенциальные угрозы безопасности, связанные с событием 4733
Событие 4733 может указывать на следующие потенциальные угрозы:
- Несанкционированное удаление пользователей из привилегированных групп
- Попытки скрыть следы компрометации учетной записи
- Ошибки администрирования, приводящие к потере доступа
- Целенаправленное понижение привилегий легитимных пользователей
Как использовать событие 4733 для усиления безопасности
Правильный анализ события 4733 позволяет:
- Контролировать изменения в составе привилегированных групп
- Выявлять подозрительную активность с учетными записями
- Обеспечивать соблюдение политик безопасности
- Реагировать на несанкционированные изменения прав доступа
Регулярный аудит этого события помогает поддерживать актуальное состояние групп безопасности и предотвращать потенциальные угрозы.
Часто задаваемые вопросы о событии 4733
Вот ответы на некоторые распространенные вопросы об этом событии:Чем отличается событие 4733 от 4732?
Событие 4732 фиксирует добавление участника в группу, а 4733 — удаление. Они являются парными событиями.
Генерируется ли 4733 при удалении участника из группы домена?
Нет, 4733 регистрируется только для локальных групп. Для групп домена используется событие 4757.
Можно ли отключить регистрацию события 4733?
Не рекомендуется отключать аудит этого события, так как оно важно для контроля изменений в группах безопасности. При необходимости можно настроить фильтрацию в средствах мониторинга.
Заключение
Событие безопасности 4733 является важным индикатором изменений в составе локальных групп Windows. Его правильный анализ и мониторинг позволяет контролировать права доступа пользователей и выявлять потенциальные угрозы безопасности. При настройке системы мониторинга важно уделить особое внимание этому событию.
4733(S) Участник был удален из локальной группы с поддержкой безопасности. (Windows 10) — Windows security
Twitter LinkedIn Facebook Адрес электронной почты
- Статья
- Чтение занимает 6 мин
Подкатегории: Аудит управления группами безопасности
Описание события:
Это событие возникает при каждом удалении участника из локальной группы с поддержкой безопасности (безопасности).
Это событие создается на контроллерах домена, рядовых серверах и рабочих станциях.
Для каждого удаленного элемента вы получите отдельное событие 4733.
Обычно отображается сообщение «4735: локальная группа с поддержкой безопасности изменена». событие без каких-либо изменений до события 4733.
Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события.
XML события:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> - <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4733</EventID> <Version>0</Version> <Level>0</Level> <Task>13826</Task> <Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime="2015-08-19T16:51:00.376806500Z" /> <EventRecordID>175037</EventRecordID> <Correlation /> <Execution ProcessID="520" ThreadID="1524" /> <Channel>Security</Channel> <Computer>DC01.contoso.local</Computer> <Security /> </System> - <EventData> <Data Name="MemberName">CN=Auditor,CN=Users,DC=contoso,DC=local</Data> <Data Name="MemberSid">S-1-5-21-3457937927-2839227994-823803824-2104</Data> <Data Name="TargetUserName">AccountOperators</Data> <Data Name="TargetDomainName">CONTOSO</Data> <Data Name="TargetSid">S-1-5-21-3457937927-2839227994-823803824-6605</Data> <Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> <Data Name="SubjectUserName">dadmin</Data> <Data Name="SubjectDomainName">CONTOSO</Data> <Data Name="SubjectLogonId">0x35e38</Data> <Data Name="PrivilegeList">-</Data> </EventData> </Event>
Необходимые роли сервера: нет.
Минимальная версия ОС: Windows Server 2008, Windows Vista.
Версии события: 0.
Описания полей:
Тема:
- Идентификатор безопасности [Type = SID]: идентификатор безопасности учетной записи, запрашивающей операцию «удалить участника из группы». Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные.
Примечание. . Идентификатор безопасности (SID) представляет собой строковое значение переменной длины, которое используется для идентификации доверенного лица (субъекта безопасности). Каждая учетная запись имеет уникальный идентификатор безопасности, выданный центром сертификации, таким как контроллер домена Active Directory, который хранится в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности этого пользователя из базы данных и помещает ее в маркер доступа этого пользователя. Система использует идентификатор безопасности в маркере доступа для идентификации пользователя во всех последующих операциях с Безопасностью Windows. Если идентификатор SID использовался как уникальный идентификатор для пользователя или группы, он не может использоваться повторно для идентификации другого пользователя или группы. Дополнительные сведения о SID см. в разделе Идентификаторы безопасности.
Имя учетной записи [Type = UnicodeString]: имя учетной записи, запрашивающей операцию «удалить участника из группы».
Account Domain [Type = UnicodeString]: домен субъекта или имя компьютера. Форматы различаются и включают в себя следующее:
Пример имени домена NETBIOS: CONTOSO
Полное имя домена в нижнем регистре: contoso. local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL
Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно «NT AUTHORITY».
Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: «Win81».
Logon ID [Type = HexInt64]: шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями содержащими тот же идентификатор входа, например: “4624: Учетная запись успешно вошла в систему.”
Член:
Идентификатор безопасности [Type = SID]: идентификатор безопасности учетной записи, которая была удалена из группы. Просмотр событий автоматически пытается разрешить идентификаторы безопасности и отобразить имя группы. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные.
Имя учетной записи [Type = UnicodeString]: различающееся имя учетной записи, которая была удалена из группы. Например: «CN=Auditor,CN=Users,DC=contoso,DC=local». Для локальных групп это поле обычно имеет значение «—«, даже если удаленный участник является учетной записью домена. Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, это поле имеет значение «-«.
Примечание API LDAP ссылается на объект LDAP по его различающееся имя (DN). DN — это последовательность относительных различаемых имен (RDN), соединенных запятыми.
RDN — это атрибут со связанным значением в форме attribute=value; . Ниже приведены примеры атрибутов RDN:
• Контроллер домена — domainComponent
• CN — commonName
• Подразделение — организационныйUnitName
• O — organizationName
Группа:
Идентификатор безопасности [Type = SID]: идентификатор безопасности группы, из которой был удален член. Просмотр событий автоматически пытается разрешить идентификаторы безопасности и отобразить имя группы. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные.
Имя группы [Type = UnicodeString]: имя группы, из которой был удален член. Например: ServiceDesk
Домен группы [Type = UnicodeString]: домен или имя компьютера группы, из которой был удален член. Форматы различаются и включают в себя следующее:
Пример имени домена NETBIOS: CONTOSO
Полное имя домена в нижнем регистре: contoso.local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL
- Для локальной группы это поле будет содержать имя компьютера, к которому принадлежит эта новая группа, например «Win81».
- Встроенные группы: Builtin
Дополнительные сведения:
- Privileges [Type = UnicodeString]: список привилегий пользователей, которые использовались во время операции, например SeBackupPrivilege. Этот параметр может не быть записан в событии и в этом случае отображается как «-«. Полный список привилегий пользователей см. в таблице 8. Привилегии пользователя.».
Рекомендации по контролю безопасности
Для 4733(S): участник был удален из локальной группы с поддержкой безопасности.
Тип требуемого мониторинга | Рекомендации |
---|---|
Удаление участников из локальных групп безопасности или групп безопасности домена: Может потребоваться отслеживать удаление участников из локальных групп безопасности или групп безопасности домена. | Если необходимо отслеживать каждый раз, когда участник удаляется из локальной группы безопасности или группы безопасности домена, отслеживайте это событие, чтобы узнать, кто и когда добавил участника. Как правило, это событие используется в качестве информационного события, которое при необходимости проверяется. |
Высокоценные локальные или доменные группы безопасности: У вас может быть список критически важных локальных групп безопасности или групп безопасности домена в организации, и вам потребуется специально отслеживать эти группы для удаления участников (или для других изменений). Примерами критически важных локальных или доменных групп являются встроенные локальные администраторы, администраторы домена, администраторы предприятия и т. д. | Отслеживайте это событие с помощью значений Group**\Group Name** , соответствующих высокоценным локальным или доменным группам безопасности. |
Локальные группы безопасности или группы безопасности домена с обязательными участниками. Может потребоваться убедиться, что для определенных локальных групп безопасности или групп безопасности домена определенные участники никогда не удаляются. | Отслеживайте это событие с помощью параметра «Group\Group Name» , соответствующего интересующей группе, и «Member\Security ID» участников, которые не должны быть удалены. |
Учетные записи большой ценности: у вас может быть домен или локальные учетные записи большой ценности, для которых необходимо отслеживать каждое действие. Примеры учетных записей большой ценности: учетные записи администраторов баз данных, встроенная учетная запись локального администратора, учетные записи администраторов домена, учетные записи служб, учетные записи контроллеров домена и т. д. | Отслеживайте это событие с помощью «Subject\Security ID» и «Member\Security ID» , которые соответствуют высокоценной учетной записи или учетным записям. |
Аномалии и вредоносные действия: у вас могут быть особые требования касательно обнаружения аномалий или отслеживания потенциально вредоносных действий. Например, вам может потребоваться отслеживать использование учетной записи во внерабочее время. | При мониторинге аномалий или вредоносных действий используйте «Subject\Security ID» (с другими сведениями), чтобы отслеживать, как и когда используется определенная учетная запись. |
Неактивные учетные записи: у вас, возможно, есть неактивные, отключенные или гостевые учетные записи, а также другие учетные записи, которые не должны использоваться. | Отслеживайте это событие с помощью «Subject\Security ID» и «Member\Security ID» , которые соответствуют учетным записям, которые никогда не должны использоваться. |
Список разрешенных учетных записей: возможно, у вас есть список разрешенных учетных записей, которым разрешено выполнять действия, соответствующие определенным событиям. | Если это событие соответствует действию allowlist-only, проверьте «Subject\Security ID» для учетных записей, которые находятся за пределами списка разрешений. |
Учетные записи различных типов: вам может потребоваться, чтобы определенные действия выполнялись только учетными записями определенных типов, например локальными учетными записями или учетными записями домена, учетными записями компьютеров или пользователей, учетными записями поставщиков или сотрудников и т. д. | Если это событие соответствует действию, которое вы хотите отслеживать для определенных типов учетных записей, просмотрите «Subject\Security ID» , чтобы узнать, соответствует ли тип учетной записи ожидаемым. |
Внешние учетные записи: вам может потребоваться отслеживать учетные записи из другого домена или «внешние» учетные записи, которым не разрешено выполнять определенные действия (представленные определенными событиями). | Отслеживайте это событие для «Subject\Account Domain» , соответствующего учетным записям из другого домена или «внешних» учетных записей. |
Ограничение использования компьютеров или устройств: у вас могут быть определенные компьютеры или устройства, на которых определенные люди (учетные записи) обычно не должны выполнять никаких действий. | Мониторинг целевого компьютера (или другого целевого устройства) на наличие действий, выполняемых «Subject\Security ID» , о которых вас беспокоит. |
Соглашения об именовании учетных записей: в вашей организации могут быть определенные соглашения об именовании учетных записей. | Отслеживайте «Subject\Account Name» для имен, которые не соответствуют соглашениям об именовании. |
Обратная связь
Просмотреть все отзывы по странице
4733 Подвесная люстра Mantra Loewe 4733, цена 60681 руб.
Подвесная люстра Mantra Loewe 4733
60 681 ₽
В корзину
В корзине
Перейти
Код товара: 58182
Артикул: 4733
Бренд: Mantra
Поделиться
В избранное В избранном
Сравнить
Подвесная люстра Mantra Loewe 4733
В избранное В избранном
Сравнить
60 681 ₽
Гарантия лучшей цены
В корзину
В корзине
Перейти
Самовывоз со склада:
сегодня, 22 февраля — бесплатно
Доставка по городу: Денвер
Доставляем в Денвер, стоимость и срок доставки уточняйте у менеджера.
При заказе от 20 000 ₽ стоимость доставки по России — бесплатно
Подробнее о доставке
21 день на возврат товара
Установка и монтаж с расширенной гарантией
Способы оплаты: Visa, MasterCard, МИР, Uniteller, Халва
Все
Люстры подвесные
Бра настенные
Настольные лампы
Подвесные светильники
Потолочные светильники
Посмотреть все товары этой серии
33 936 ₽
Потолочный светильник Mantra Loewe 4640
Код: 58178
Mantra (Испания)
138 520 ₽
Подвесная люстра Mantra Loewe 4730
Код: 91914
Mantra (Испания)
18 368 ₽
Интерьерная настольная лампа Mantra Loewe 4737
Код: 91916
Mantra (Испания)
18 368 ₽
Интерьерная настольная лампа Mantra Loewe 4637
Код: 58175
Mantra (Испания)
16 970 ₽
Бра Mantra Loewe 4735
Код: 58184
Mantra (Испания)
95 009 ₽
Подвесная люстра Mantra Loewe 4632
Код: 58170
Mantra (Испания)
16 970 ₽
Бра Mantra Loewe 4635
Код: 58173
Mantra (Испания)
91 818 ₽
Подвесная люстра Mantra Loewe 4731
Код: 58180
Mantra (Испания)
138 520 ₽
Подвесная люстра Mantra Loewe 4630
Код: 58168
Mantra (Испания)
41 920 ₽
Подвесной светильник Mantra Loewe 4739
Код: 58188
Mantra (Испания)
Описание
Люстра подвесная 4733 из серии Loewe от компании Mantra регулируется по высоте и устанавливается на металлический крюк. Современная люстра прекрасно подойдет в качестве источника основного света для гостиной, прихожей и коридора, кафе, кабинета, оформленных в стиле модерн. Основной цвет модели — белый, материал арматуры — металл. Люстра имеет 3 абажура со свечением вверх, материал изготовления — стекло, органза. Модель оснащена цоколем E14, имеет 3 лампочки с общей мощностью 39W и напряжением 220V. Светильник поддерживает подключение диммера. Габариты: диаметр — 500 мм. Лучшая цена и условия доставки на Mantra 4733 в интернет-магазине Fedomo.ru.
Помощь экспертов
Характеристики
Размеры упаковки
Длина тары, см
47
Ширина тары, см
43
Высота тары, см
53
Размеры
Высота минимальная, мм
600
Возможность регулировки по высоте
Диаметр, мм
500
Вес, кг
5,8
Материалы и цвета
Цвет плафонов
Цвет основания
Латунь
Материал плафона
Органза
Материал основания
Металл
Характеристики источника света
Площадь освещения, кв. м
8
Количество плафонов и абажуров, шт
3
Цоколь
Тип ламп
Кол-во ламп, шт
Мощность ламп, Вт
Общая мощность, Вт
60
Вид рассеивателя
Абажур
Возможность подключения диммера
Лампочки в комплекте
Производитель
Бренд
Mantra
Серия
Mantra Loewe
Страна
Испания
Гарантии
Гарантия производителя, месяц
12
Сертификаты
Ростест (Система сертификации ГОСТ Р)
Подробнее
Помещение
гостиная
,
прихожая и коридор
,
кафе
,
кабинет
Технические особенности
Регулировка по высоте
Степень защиты, IP
Способ крепления
металлический крюк
Модерн
,
Современный
Место установки
Потолок
Напряжение питания, В
Диапазон температур эксплуатации
комнатная температура
Тип товара
Люстра подвесная
Тип подвеса
Отзывы о товаре: 0
Нет оценок
Написать отзыв
Посмотреть все похожие товары
Показать все характеристики Свернуть характеристики
На рынке светотехники с 2009 года
Даем 2 года гарантии на светотехнику
Доставка во все регионы России без предоплаты
Лампочка светодиодная E14 6 Вт свеча белая Elektrostandard BLE1423
Код: 358915
Elektrostandard (Россия)
Лампочка светодиодная белая свеча на ветру E14 9W Feron 55130
Код: 375570
Feron (Китай)
Лампочка светодиодная груша белая колба E14 7 Вт 2700K теплое белое свечение Feron 25513
Код: 305372
Feron (Китай)
Лампочка светодиодная Voltega Simple 8454
Код: 414742
Voltega (Германия)
Лампочка светодиодная филаментная E14 5 Вт 550 lm 4000K нейтральное белое свечение Feron 25576
Код: 305962
Feron (Китай)
Лампочка светодиодная Voltega Globe dim 5W 8465
Код: 419597
Voltega (Германия)
Светодиодная лампа Свеча 7W 4200K E14 (C35 прозрачный) BLE1412 (a049116)
Код: 305560
Elektrostandard (Россия)
Лампочка светодиодная филаментная E14 7W 220V шар прозрачная 2700K Feron 25874
Код: 327925
Feron (Китай)
Лампочка светодиодная филаментная E14 7W 220V свеча на ветру прозрачная 2700K Feron 25872
Код: 327954
Feron (Китай)
Лампочка светодиодная шар белая колба E14 9 Вт 6400K холодное белое свечение Feron 25803
Код: 305420
Feron (Китай)
4733(S) Участник удален из локальной группы с включенной безопасностью.
(Windows 10)Редактировать
Твиттер LinkedIn Фейсбук Электронная почта
- Статья
- 6 минут на чтение
Подкатегория: Аудит управления группой безопасности
Описание события:
Это событие генерируется каждый раз, когда член был удален из локальной группы с включенной безопасностью (безопасность).
Это событие генерируется на контроллерах домена, рядовых серверах и рабочих станциях.
Для каждого удаленного участника вы получите отдельное событие 4733.
Обычно вы видите «4735: локальная группа с поддержкой безопасности была изменена». событие без каких-либо изменений в нем до события 4733.
Примечание Рекомендации см. в разделе Рекомендации по мониторингу безопасности для этого события.
XML события:
-- <Система> 4733 <Версия>0Версия> <Уровень>0Уровень> <Задача>13826Задача> <Код операции>0Код операции> <Ключевые слова>0x8020000000000000Ключевые слова>175037 <Корреляция /><Канал>БезопасностьКанал> <Компьютер>DC01.contoso.localКомпьютер> <Безопасность/> Система> - <Данные События> CN=Auditor,CN=Users,DC=contoso,DC=local S-1-5-21-3457937927-2839227994-823803824-2104 Операторы аккаунта CONTOSOДанные> S-1-5-21-3457937927-2839227994-823803824-6605Данные> S-1-5-21-3457937927-2839227994-823803824-1104 dadmin CONTOSOДанные> 0x35e38Данные> -Данные> Событие>
Требуемые роли сервера: Нет.
Минимальная версия ОС: Windows Server 2008, Windows Vista.
Версии событий: 0.
Описания поля:
Тема:
- Идентификатор безопасности [Тип = SID] : SID SID of of of Security. из группы». Средство просмотра событий автоматически пытается разрешить SID и показать имя учетной записи. Если SID не может быть разрешен, вы увидите исходные данные в событии.
Примечание Идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для идентификации доверенного лица (участника безопасности). Каждая учетная запись имеет уникальный SID, выдаваемый органом власти, например контроллером домена Active Directory, и хранящийся в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система извлекает SID для этого пользователя из базы данных и помещает его в маркер доступа для этого пользователя. Система использует SID в маркере доступа для идентификации пользователя во всех последующих взаимодействиях с системой безопасности Windows. Когда SID использовался в качестве уникального идентификатора для пользователя или группы, его нельзя использовать снова для идентификации другого пользователя или группы. Дополнительные сведения об идентификаторах SID см. в разделе Идентификаторы безопасности.
Имя учетной записи [Type = UnicodeString] : имя учетной записи, которая запросила операцию «удалить участника из группы».
Домен учетной записи [Type = UnicodeString] : домен субъекта или имя компьютера. Форматы различаются и включают следующее:
Пример имени домена NETBIOS: CONTOSO
Полное доменное имя в нижнем регистре: contoso.local
Полное доменное имя в верхнем регистре: CONTOSO.LOCAL
Для некоторых известных принципов безопасности, таких как ЛОКАЛЬНАЯ СЛУЖБА или АНОНИМНЫЙ ВХОД, значение этого поля — «NT AUTHORITY».
Для локальных учетных записей пользователей это поле будет содержать имя компьютера или устройства, которому принадлежит эта учетная запись, например: «Win81».
Идентификатор входа в систему [Type = HexInt64] : шестнадцатеричное значение, которое может помочь вам сопоставить это событие с недавними событиями, которые могут содержать тот же идентификатор входа, например, «4624: учетная запись была успешно зарегистрирована».
Участник:
Идентификатор безопасности [Type = SID] : SID учетной записи, которая была удалена из группы. Средство просмотра событий автоматически пытается разрешить SID и показать имя группы. Если SID не может быть разрешен, вы увидите исходные данные в событии.
Имя учетной записи [Type = UnicodeString]: различающееся имя учетной записи, которая была удалена из группы. Например: «CN=Auditor,CN=Users,DC=contoso,DC=local». Для локальных групп это поле обычно имеет значение «9».0020–», даже если удаленный член является учетной записью домена. Для некоторых известных принципов безопасности, таких как ЛОКАЛЬНАЯ СЛУЖБА или АНОНИМНЫЙ ВХОД, значение этого поля равно «-».
Примечание API LDAP ссылается на объект LDAP по его различающемуся имени (DN) . DN — это последовательность относительных отличительных имен (RDN), соединенных запятыми.
RDN — это атрибут со связанным значением в форме атрибут=значение; . Вот примеры атрибутов RDN:
• DC — компонент домена
• CN — общее имя
• Подразделение — OrganizationUnitName
• O — название организации
Группа:
Идентификатор безопасности [Type = SID] : SID группы, из которой был удален участник. Средство просмотра событий автоматически пытается разрешить SID и показать имя группы. Если SID не может быть разрешен, вы увидите исходные данные в событии.
Имя группы [Type = UnicodeString] : имя группы, из которой был удален участник. Например: Служба поддержки
.
Домен группы [Type = UnicodeString]: имя домена или компьютера группы, из которой был удален участник. Форматы различаются и включают следующее:
Пример имени домена NETBIOS: CONTOSO
Полное доменное имя в нижнем регистре: contoso.local
Полное доменное имя в верхнем регистре: CONTOSO.LOCAL
- Для локальной группы это поле будет содержать имя компьютера, которому принадлежит эта новая группа, например: «Win81».
- Встроенные группы: Встроенные
Дополнительная информация:
- Привилегии [Type = UnicodeString]: список привилегий пользователя, которые использовались во время операции, например, SeBackupPrivilege. Этот параметр может не быть зафиксирован в событии и в этом случае отображается как «-». См. полный список привилегий пользователя в «Таблица 8. Привилегии пользователя».
Для 4733(S): Член был удален из локальной группы с включенной безопасностью.