Записывает ли Windows событие «Member deleted» для групп безопасности при удалении учетной записи пользователя AD?

У нас включен аудит безопасности AD DS в домене функционального уровня Windows Server 2008r2. Мы используем сторонний инструмент, чтобы предупредить нас об изменениях в нашем членстве в административной группе. Недавно мы удалили несколько учетных записей служб, которые были членами группы безопасности Admins, но никто не был предупрежден нашим сторонним инструментом.

Я пытаюсь определить, есть ли ошибка в нашей конфигурации аудита, ошибка в стороннем инструменте или если Windows просто не регистрирует события «Member deleted» для групп безопасности при удалении пользователя из группы безопасности .

Чтобы быть более конкретным, мы ищем событие журнала безопасности для "Участник удален из группы [Universal | Global | Domain-Local] с включенной безопасностью." Это событие который инициирует оповещение в нашем приложении. В этом случае учетная запись пользователя «member» была удалена без явного удаления из группы безопасности. Зарегистрировано событие «Учетная запись пользователя».

В этом случае я подозреваю, что Windows не будет регистрировать . Участник был удален из события с включенной защитой ... group , потому что учетная запись пользователя была удалена без явного удаления из группы безопасности , Я хотел бы подтвердить эту гипотезу. Если моя гипотеза верна, тогда нам нужно скорректировать наши процессы. Если моя гипотеза ложна, а Windows должна регистрировать это событие, то либо наш аудит терпит неудачу, либо неправильно сконфигурирован, либо приложение терпит неудачу.

Аудит «Управление учетными записями» активируется GPO. Группы безопасности администратора имеют события аудита «Успех», добавленные к их свойствам безопасности. Размер журнала безопасности на наших контроллерах домена - 128 МБ. Я искал журнал событий безопасности в DC для событий 4733, 4729 и 4757 и не нашел их, однако журнал событий перерабатывается всего через несколько часов со всей деятельностью в нашем домене.

Эти оповещения работали в прошлом для явных добавленных членов и элементов, удаленных из списка, и никакие конфигурации не изменились (что я знаю, и я - администратор AD sys).

Может быть, как администратор AD sys я уже должен был знать ответ на этот вопрос .. но никто не знает все :)

Я также задал этот вопрос на TechNet, но не получил полезных ответов.

7 голосов | спросил Thomas 3 FebruaryEurope/MoscowbTue, 03 Feb 2015 21:52:50 +0300000000pmTue, 03 Feb 2015 21:52:50 +030015 2015, 21:52:50

1 ответ


1

Для групп безопасности да:

event ID   Legacy event     criticality  Summary
 4729     633           Low      A member was removed from a security-enabled global group.

Я не считаю, что ведение журнала событий не регистрирует событие удаления, поскольку это действие не произошло в случае удаления учетной записи.

ответил Jim B 3 FebruaryEurope/MoscowbTue, 03 Feb 2015 21:58:17 +0300000000pmTue, 03 Feb 2015 21:58:17 +030015 2015, 21:58:17

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132