У нас включен аудит безопасности AD DS в домене функционального уровня Windows Server 2008r2. Мы используем сторонний инструмент, чтобы предупреждать нас об изменениях в членстве в нашей административной группе. Недавно мы удалили несколько учетных записей служб, которые были членами группы безопасности «Администраторы домена», но никто не был предупрежден нашим сторонним инструментом.
Я пытаюсь определить, есть ли ошибка в нашей конфигурации аудита, ошибка в стороннем инструменте или Windows просто не регистрирует события «Участник удален» для групп безопасности при удалении пользователя в группе безопасности.
Чтобы быть более конкретным, мы ищем событие журнала безопасности для «Участник был удален из группы [Universal | Global | Domain-Local] с включенной безопасностью». Это событие инициирует оповещение в нашем приложении. В этом случае учетная запись пользователя-участника была удалена без явного удаления из группы безопасности. Зарегистрировано событие «Учетная запись пользователя была удалена».
В этом случае я подозреваю, что Windows не будет регистрировать «Участник был удален из группы с включенной безопасностью ...» событие, поскольку учетная запись пользователя была удалена без явного удаления из группы безопасности. Хочу подтвердить эту гипотезу. Если моя гипотеза верна, то нам нужно скорректировать наши процессы. Если моя гипотеза неверна, и Windows должен зарегистрируйте это событие, значит, либо наш аудит не работает, либо неправильно настроен, либо приложение дает сбой.
Аудит «Управление учетной записью» включен GPO. В свойствах безопасности групп безопасности администраторов добавлены события аудита «Успех». Размер журнала безопасности на наших контроллерах домена составляет 128 МБ. Я поискал в журнале событий безопасности на контроллере домена события 4733, 4729 и 4757 и не нашел ни одного, однако журнал событий перезапускается всего через несколько часов со всей активностью в нашем домене.
Эти оповещения работали в прошлом для явный добавлен участник и удален участник, и никакие конфигурации не изменились (об этом я знаю, и я системный администратор AD).
Возможно, как системный администратор AD я уже должен знать ответ на этот вопрос .. но никто не знает всего :)
Я тоже задавал этот вопрос в TechNet, но не получил полезных ответов.
Для групп безопасности да:
event ID Legacy event criticality Summary
4729 633 Low A member was removed from a security-enabled global group.
Я не верю, что ведение журнала событий управления не приведет к регистрации события удаления, поскольку это действие не имело места в случае удаления учетной записи.