我们在
Windows Server 2008r2功能级域上启用了AD DS安全审核.我们使用第三方工具提醒我们管理组成员身份的更改.我们最近删除了几个属于Domain Admins安全组成员的服务帐户,但我们的第三方工具没有提醒任何人.
我正在尝试确定我们的审核配置是否存在错误,第三方工具是否存在故障,或者当安全组中的用户被删除时,Windows根本不会为安全组记录“已删除成员”事件.
更具体地说,我们正在寻找“已从启用安全性的[Universal | Global | Domain-Local]组中删除成员的安全日志事件.”这是在我们的应用程序中启动警报的事件.在这种情况下,“成员”用户帐户已被删除,但未从安全组中明确删除.记录了“用户帐户已删除”的事件.
在这种情况下,我怀疑Windows不会记录“一个成员已从启用安全性的…组中删除”事件,因为用户帐户已被删除而未明确从安全组中删除.我想证实这个假设.如果我的假设是正确的,那么我们需要调整我们的过程.如果我的假设是假的,并且Windows应该记录此事件,那么我们的审核失败或配置错误,或者应用程序失败.
审核“帐户管理”由GPO启用. Admin安全组将“Success”审核事件添加到其安全属性中.域控制器上的安全日志大小为128mb.我在DC上搜索了事件4733,4729和4757的安全事件日志,但没有找到,但事件日志在我们域上的所有活动仅用了几个小时后就会重新开始.
这些警报过去曾用于显式成员添加和成员删除事件,并且没有任何配置已更改(我知道,我是AD系统管理员).
也许作为一个AD系统管理员我应该已经知道这个问题的答案..但没有人知道一切:)
我也在TechNet上问了这个问题,但没有得到有用的回复.
