Discussion :

[6bil1]

Bonjour,

Toutes les 15 mn environs, j'ai un compte (admin du domaine) qui se connecte sur mon serveur... (Ce serveur est un Windows 2003. Il héberge uniquement IIS, pas de partage de fichiers, il a SQL server 2005 / Visual 2005)


J'ai 4 events :

Le 1er, c'est le system (l'utilisateur)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Tentative d'ouverture de session en utilisant des informations d'identification explicites :
 Utilisateur connecté :
   Nom d'utilisateur : PRDETHIS$
   Domaine : 	EPARGNE
   ID d'ouv. de session : 	(0x0,0x3E7)
   GUID d'ouv. de session : -
 Utilisateur dont les informations d'identification ont été utilisées :
   Nom d'utilisateur cible : marius
   Domaine cible : EPARGNE
   GUID d'ouv. de session cible : -

   Nom du serveur cible : localhost
   Informations du serveur cible : localhost
   ID de processus appelant*: 832
   Adresse réseau source : 	-
   Port source : 	%13

le 2eme c'est le compte admin du domaine :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Ouverture de session réseau réussie :
   Utilisateur : marius
   Domaine : EPARGNE
   Id. de la session : (0x0,0x7775246)
   Type de session : 3
   Processus de session : Authz   
   Package d'authentification : Kerberos
   Nom de la station de travail : PRDETHIS
   GUID d'ouv. de session : -
   Nom de l'utilisateur appelant*: PRDETHIS$
   Domaine appelant*: EPARGNE
   ID de session de l'appelant*: (0x0,0x3E7)
   ID de processus appelant*: 832
   Services en transit : -
   Adresse réseau source : 	-
   Port source : 	-

Le 3eme aussi :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
Privilèges spéciaux assignés à la nouvelle session :
   Utilisateur : marius
   Domaine : EPARGNE
   Id. de la session : (0x0,0x7775246)
   Privilèges : SeAssignPrimaryTokenPrivilege
			SeSecurityPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeTakeOwnershipPrivilege
			SeDebugPrivilege
			SeSystemEnvironmentPrivilege
			SeLoadDriverPrivilege
			SeImpersonatePrivilege

Le 4eme aussi :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
Fermeture de la session utilisateur :
   Utilisateur : marius
   Domaine : EPARGNE
   Id. de la session : (0x0,0x7775246)
   Type de session : 3

Je ne comprends pas pourquoi il se connecte à ce serveur.
Je n'ai pas de tache planifié, pas de lecteur mappé. J'ai supprimé le profil local de marius sur le serveur et il ne se recrée pas.

En plus, ce compte n'est plus utilisé (marius).

Pouvez vous me dire si c'est le serveur lui meme ou si ca vient du réseau ?
Si ca vient du réseau, pk j'ai ce message :
Nom du serveur cible : localhost
Informations du serveur cible : localhost
ID de processus appelant : 832
Adresse réseau source : -


merci de votre aide

[Mothership]

De loin je dirai que l'utilisateur Marius s'authentifie sur ton site web ou quelque chose comme ça.

Localhost : ton serveur
Donc comme si la requête était de ton serveur vers ton serveur.
Est ce que les connexions sur un site web fonctionnent comme ça je ne sais pas (dans le sens lors de l'authentification, c'est ton serveur qui valide son user sur ton domaine).

Concernant les significations des events, google et la le site de Msft sont tes amis.

[6bil1]

Lorsque j'accede au site web (intranet), pas de lien vers l'extérieur.

J'ai bien un ip source... et il m'affiche bien l'ip source...

Ca m'étonnerait que ca soit un acces sur le site web.
De plus, lorsque je regarde les logs de IIS, il ne fait pas référence à Marius...

Je viens de désactiver le planificateur de taches, et marius revient tjrs.

J'ai aussi vérifié si aucun service sur ce serveur etait lancé avec le compte de marius.

Je bloque.