active-directory – 当删除AD用户帐户时,Windows是否为安全组记
我们在
Windows Server 2008r2功能级域上启用了AD DS安全审核.我们使用第三方工具提醒我们管理组成员身份的更改.我们最近删除了几个属于Domain Admins安全组成员的服务帐户,但我们的第三方工具没有提醒任何人.
我正在尝试确定我们的审核配置是否存在错误,第三方工具是否存在故障,或者当安全??组中的用户被删除时,Windows根本不会为安全组记录“已删除成员”事件. 更具体地说,我们正在寻找“已从启用安全性的[Universal | Global | Domain-Local]组中删除成员的安全日志事件.”这是在我们的应用程序中启动警报的事件.在这种情况下,“成员”用户帐户已被删除,但未从安全组中明确删除.记录了“用户帐户已删除”的事件. 在这种情况下,我怀疑Windows不会记录“一个成员已从启用安全性的…组中删除”事件,因为用户帐户已被删除而未明确从安全组中删除.我想证实这个假设.如果我的假设是正确的,那么我们需要调整我们的过程.如果我的假设是假的,并且Windows应该记录此事件,那么我们的审核失败或配置错误,或者应用程序失败. 审核“帐户管理”由GPO启用. Admin安全组将“Success”审核事件添加到其安全属性中.域控制器上的安全日志大小为128mb.我在DC上搜索了事件4733,4729和4757的安全事件日志,但没有找到,但事件日志在我们域上的所有活动仅用了几个小时后就会重新开始. 这些警报过去曾用于显式成员添加和成员删除事件,并且没有任何配置已更改(我知道,我是AD系统管理员). 也许作为一个AD系统管理员我应该已经知道这个问题的答案..但没有人知道一切:) 我也在TechNet上问了这个问题,但没有得到有用的回复.
对于安全组织是:
event ID Legacy event criticality Summary 4729 633 Low A member was removed from a security-enabled global group. 我不相信管理事件日志记录不会记录删除事件,因为在删除帐户的情况下不会执行该操作. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- windows – 如何使用批处理文件获取文件的属性
- DL360 – SD卡上的Windows Server 2012 Core hyper-v?
- windows-phone-7 – 如何降级Windows Phone 8应用程序?
- 如何在Windows中获取驱动器的总大小
- Windows Server 2016-三种方法备份还原DHCP服务器
- windows-xp – 如何从批处理文件中的变量中删除双引号?
- Windows下Django项目搭建流程
- windows – 在批处理脚本中执行目录列表时速度很慢
- 如何为Windows安装开源Qt库5二进制版本
- windows-phone-8 – LongListSelector第一个和最后一个项目
- windows-server-2003 – Windows 7客户端,2003 S
- 在 Windows 的 IIS 上部署 .net core 网站
- CMD常用命令
- windows-7 – Visual Studio 2012 MFC向导使用ae
- windows-server-2003 – 在Windows Server 2003中
- windows-7 – X11桌面与服务器上Win7 VM guest虚
- windows – 通过http下载许多文件的批处理脚本?
- windows – 一起使用gevent和多处理与子进程通信
- windows-phone-7 – Windows Phone 7上的Dispatc
- .net – 在Windows中添加全局键盘快捷键的最简单