常在網上飄，哪能不挨刀?這是網民對電腦安全現狀的生動寫照。既便是擅長自我保護的技術高手，也難免會感染病毒或木馬，小白網民更不用說了，如何保護電腦安全成為所有網民非常關心的一件事情。為此,今天為大家講解Windows Server 2003安全事件ID分析,希望可以幫助我們快速識別由 Microsoft? Windows Server 2003 操作系統生成的安全事件，究竟意味著什么事件出現了。

　　一、帳戶登錄事件

　　下面顯示了由“審核帳戶登錄事件”安全模板設置所生成的安全事件。

　　672：已成功頒發和驗證身份驗證服務 (AS) 票證。

　　673：授權票證服務 (TGS) 票證已授權。TGS 是由 Kerberos v5 票證授權服務 (TGS) 頒發的票證，允許用戶對域中的特定服務進行身份驗證。

　　674：安全主體已更新 AS 票證或 TGS 票證。

　　675：預身份驗證失敗。用戶鍵入錯誤的密碼時，密鑰發行中心 (KDC) 生成此事件。

　　676：身份驗證票證請求失敗。在 windows xp Professional 或 Windows Server 家族的成員中不生成此事件。

　　677：TGS 票證未被授權。在 windows xp Professional 或 Windows Server 家族的成員中不生成此事件。

　　678：帳戶已成功映射到域帳戶。

　　681：登錄失敗。嘗試進行域帳戶登錄。在 windows xp Professional 或 Windows Server 家族的成員中不生成此事件。

　　682：用戶已重新連接至已斷開的終端服務器會話。

　　683：用戶未注銷就斷開終端服務器會話。

　　二、帳戶管理事件

　　下面顯示了由“審核帳戶管理”安全模板設置所生成的安全事件。

　　624：用戶帳戶已創建。

　　627：用戶密碼已更改。

　　628：用戶密碼已設置。

　　630：用戶帳戶已刪除。

　　631：全局組已創建。

　　632：成員已添加至全局組。

　　633：成員已從全局組刪除。

　　634：全局組已刪除。

　　635：已新建本地組。

　　636：成員已添加至本地組。

　　637：成員已從本地組刪除。

　　638：本地組已刪除。

　　639：本地組帳戶已更改。

　　641：全局組帳戶已更改。

　　642：用戶帳戶已更改。

　　643：域策略已修改。

　　644：用戶帳戶被自動鎖定。

　　645：計算機帳戶已創建。

　　646：計算機帳戶已更改。

　　647：計算機帳戶已刪除。

　　648：禁用安全的本地安全組已創建。

　　注意：

　　從正式名稱上講，SECURITY_DISABLED 意味著該組不能用來授權訪問檢查。

　　649：禁用安全的本地安全組已更改。

　　650：成員已添加至禁用安全的本地安全組。

　　651：成員已從禁用安全的本地安全組刪除。

　　652：禁用安全的本地組已刪除。

　　653：禁用安全的全局組已創建。

　　654：禁用安全的全局組已更改。

　　655：成員已添加至禁用安全的全局組。

　　656：成員已從禁用安全的全局組刪除。

　　657：禁用安全的全局組已刪除。

　　658：啟用安全的通用組已創建。

　　659：啟用安全的通用組已更改。

　　660：成員已添加至啟用安全的通用組。

　　661：成員已從啟用安全的通用組刪除。

　　662：啟用安全的通用組已刪除。

　　663：禁用安全的通用組已創建。

　　664：禁用安全的通用組已更改。

　　665：成員已添加至禁用安全的通用組。

　　666：成員已從禁用安全的通用組刪除。

　　667：禁用安全的通用組已刪除。

　　668：組類型已更改。

　　684：管理組成員的安全描述符已設置。

　　注意：

　　在域控制器上，每隔 60 分鐘，后臺線程就會搜索管理組的所有成員(如域、企業和架構管理員)，并對其應用一個固定的安全描述符。該事件已記錄。

　　685：帳戶名稱已更改。