我们在
Windows Server 2008r2功能级域上启用了AD DS安全审核.我们使用第三方工具提醒我们管理组成员身份的更改.我们最近删除了几个属于Domain Admins安全组成员的服务帐户,但我们的第三方工具没有提醒任何人.
我正在尝试确定我们的审核配置是否存在错误,第三方工具是否存在故障,或者当安全组中的用户被删除时,Windows根本不会为安全组记录“已删除成员”事件.
更具体地说,我们正在寻找“已从启用安全性的[Universal | Global | Domain-Local]组中删除成员的安全日志事件.”这是在我们的应用程序中启动警报的事件.在这种情况下,“成员”用户帐户已被删除,但未从安全组中明确删除.记录了“用户帐户已删除”的事件.
在这种情况下,我怀疑Windows不会记录“一个成员已从启用安全性的…组中删除”事件,因为用户帐户已被删除而未明确从安全组中删除.我想证实这个假设.如果我的假设是正确的,那么我们需要调整我们的过程.如果我的假设是假的,并且Windows应该记录此事件,那么我们的审核失败或配置错误,或者应用程序失败.
审核“帐户管理”由GPO启用. Admin安全组将“Success”审核事件添加到其安全属性中.域控制器上的安全日志大小为128mb.我在DC上搜索了事件4733,4729和4757的安全事件日志,但没有找到,但事件日志在我们域上的所有活动仅用了几个小时后就会重新开始.
这些警报过去曾用于显式成员添加和成员删除事件,并且没有任何配置已更改(我知道,我是AD系统管理员).
也许作为一个AD系统管理员我应该已经知道这个问题的答案..但没有人知道一切:)
我也在TechNet上问了这个问题,但没有得到有用的回复.
对于安全组织是:
event ID Legacy event criticality Summary 4729 633 Low A member was removed from a security-enabled global group.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。