Interprétation des utilisateurs ‘-‘ ou inexistants dans les rapports ACS.

Il arrive que certains rapports ACS montrent des tentatives de connexion pour des utilisateurs non identifiés.

Ce comportement n’est pas imputable directement  ACS mais plutôt à certaines fonctions de l’API Windows.

Par exemple, la fonction AcceptSecurityContext() peut être appelée sans passer de nom d’utilisateur. C’est le cas lors d’actions pour le compte de NT AUTHORITY\ANONYMOUS LOGON ou NT AUTHORITY\SYSTEM.

On peut retrouver dans le journal de Windows les évènements correspondants :

On peut voir que le compte utilisé apparaît dans l’entête de l’évènement mais pas dans la description du message. Or, ACS analyse le corps du message pour en extraire les informations à stocker dans la base.

Il est bien sur possible de filtrer ces évènements en modifiant la requête utilisée par le collecteur ACS au moyen de la fonction ADTADMIN mais en fait, ces évènements sont légitimes et peuvent être conservés dans les rapports.