我们昨天有一个实例,我们超过5,000个用户对象中的大约130个突然被破坏.除了sAMAccountName和cn之外,您可以设置的每个属性都被清除,包括密码,尽管政策禁止任何少于8个字符的内容.修改后的时间戳彼此相距几秒钟.他们的帐户也被禁用了.我怀疑是因为密码的消隐.当我们重新启用帐户时,我们会收到错误消息,说密码不符合要求.所以,我们不得不重置所有密码.帐户也与其Exchange邮箱取消关联,我们不得不重新连接它们.甚至他们的所有团体成员都被删除了.
我们注意到的奇怪之处在于,当按照字母顺序按cn排序时,所有这些都是在其OU容器中的前一个到三个用户之间.除此之外,没有注意到任何模式.
最初,我认为这可能是由于某人编写脚本并搞砸了.但是,密码设置为空白的事实让我相信无法通过脚本完成.
不幸的是,由于我不会进入的原因,我们没有开启审核.
谁看过这个吗?你知道可能是什么造成的吗?
这听起来像某人或某事删除了帐户,然后恢复它们. (想象一下管理员说“哦,狗屎” – 我们都去过那里.)这是你在AD回收站之前恢复/恢复已删除的对象时所看到的行为. .该对象使用空白密码进行恢复,并因此被禁用,并且大多数属性和组成员身份都将丢失.
如果启用了审核,请检查DC上的安全事件日志.如果没有,请检查repadmin / showobjMeta.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
