Windows Server 2003安全事件ID分析

　　637：成员已从本地组删除。

　　638：本地组已删除。

　　639：本地组帐户已更改。

　　641：全局组帐户已更改。

　　642：用户帐户已更改。

　　643：域策略已修改。

　　644：用户帐户被自动锁定。

　　645：计算机帐户已创建。

　　646：计算机帐户已更改。

　　647：计算机帐户已删除。

　　648：禁用安全的本地安全组已创建。

　　注意：

　　从正式名称上讲，SECURITY_DISABLED 意味着该组不能用来授权访问检查。

　　649：禁用安全的本地安全组已更改。

　　650：成员已添加至禁用安全的本地安全组。

　　651：成员已从禁用安全的本地安全组删除。

　　652：禁用安全的本地组已删除。

　　653：禁用安全的全局组已创建。

　　654：禁用安全的全局组已更改。

　　655：成员已添加至禁用安全的全局组。

　　656：成员已从禁用安全的全局组删除。

　　657：禁用安全的全局组已删除。

　　658：启用安全的通用组已创建。

　　659：启用安全的通用组已更改。

　　660：成员已添加至启用安全的通用组。

　　661：成员已从启用安全的通用组删除。

　　662：启用安全的通用组已删除。

　　663：禁用安全的通用组已创建。

　　664：禁用安全的通用组已更改。

　　665：成员已添加至禁用安全的通用组。

　　666：成员已从禁用安全的通用组删除。

　　667：禁用安全的通用组已删除。

　　668：组类型已更改。

　　684：管理组成员的安全描述符已设置。

　　注意：

　　在域控制器上，每隔 60 分钟，后台线程就会搜索管理组的所有成员（如域、企业和架构管理员），并对其应用一个固定的安全描述符。该事件已记录。