Tho*_*mas 7 active-directory windows-event-log windows-server-2008-r2
我们在 Windows Server 2008r2 功能级别域上启用了 AD DS 安全审核。我们使用第三方工具来提醒我们管理组成员身份的变化。我们最近删除了几个属于 Domain Admins 安全组成员的服务帐户,但我们的第三方工具没有通知任何人。
我正在尝试确定我们的审核配置是否有问题、第三方工具是否有问题,或者当安全组中的用户被删除时,Windows 是否只是不记录安全组的“成员已删除”事件。
更具体地说,我们正在寻找“一个成员已从启用安全性的 [Universal|Global|Domain-Local] 组中删除”的安全日志事件。这是在我们的应用程序中启动警报的事件。在这种情况下,“成员”用户帐户被删除,而没有从安全组中明确删除。记录了“用户帐户已删除”的事件。
在这种情况下,我怀疑 Windows 不会记录“A member was removed from a security enabled ... group”事件,因为用户帐户被删除而没有从安全组中明确删除。我想证实这个假设。如果我的假设成立,那么我们需要调整我们的流程。如果我的假设是错误的,并且 Windows应该记录此事件,那么要么我们的审计失败或配置错误,要么应用程序失败。
审核“帐户管理”由 GPO 启用。Admin 安全组将“成功”审核事件添加到其安全属性中。我们域控制器上的安全日志大小为 128mb。我在 DC 上的安全事件日志中搜索了事件 4733、4729 和 4757,但没有找到,但是事件日志仅在几个小时后就回收了我们域上的所有活动。
这些警报过去一直适用于显式成员添加和成员删除事件,并且没有配置更改(我知道,我是 AD 系统管理员)。
也许作为 AD 系统管理员,我应该已经知道这个问题的答案.. 但没有人知道一切:)
我也在 TechNet 上问过这个问题,但没有得到有用的答复。
对于安全组是:
event ID Legacy event criticality Summary
4729 633 Low A member was removed from a security-enabled global group.
我不认为管理事件日志记录不会记录删除事件,因为在帐户删除的情况下不会发生该操作。
| 归档时间: |
|
| 查看次数: |
5197 次 |
| 最近记录: |