с помощью некоторого инструмента аудита для AD я заметил много изменений, сделанных
АНОНИМНЫЙ ВХОД
например, для badPwdCount и badPasswordTime с одинаковыми значениями до и после.
Есть идеи, почему это «изменение» действительно происходит, если оно на самом деле ничего не меняет?
Что меняется? Или вы просто видите в журналах события анонимного входа?
Учетная запись Anonymous используется для нескольких задач, связанных с запросом информации за пределами домена. От Microsoft:
Некоторые службы, работающие под управлением версий Windows, предшествующих Windows 2000, используют анонимный доступ для запроса информации об учетной записи пользователя с контроллеров домена и для составления списка общих сетевых ресурсов на файловых серверах и рабочих станциях.
Вам также может потребоваться разрешить анонимный доступ, когда администратору в домене-доверителе односторонних доверительных отношений между лесами необходимо перечислить пользователей и общие ресурсы в доверенном домене другого леса.
Больше на http://technet.microsoft.com/en-us/library/cc785670%28v=ws.10%29.aspx
Но анонимный пользователь не должен вносить изменения, поэтому мне интересно, какой идентификатор события вы имеете в виду или какой инструмент вы используете, чтобы это сказать. Анонимный - это базовая учетная запись с ограниченным доступом для получения (надеюсь) ненавязчивой информации без полных прав входа в домен.
РЕДАКТИРОВАТЬ - нажмите "Отправить" слишком быстро. В примере, который вы приводите для badpwdcount в вашем примере, говорится, что что-то ... машина, служба, человек ... пытается войти в систему и не дает правильные учетные данные. Это может быть неправильная конфигурация, или кто-то что-то опечатал, или кто-то ткнул сеть (что его запускает? Веб-сайт в IIS? Компьютер в вашем домене?). Атрибут badpwdcount в AD используется, например, для отслеживания того, должна ли учетная запись быть блокируется после X неудачных попыток входа в систему. Попытка входа в систему выполняется от имени анонима, пока не будут установлены учетные данные.