Вчера у нас был случай, когда примерно 130 из более чем 5000 пользовательских объектов внезапно были повреждены. Каждый атрибут, который вы можете установить, за исключением sAMAccountName и cn были стерты полностью, включая их пароль, несмотря на то, что политика запрещала использование любых символов менее 8. Все измененные отметки времени находились в секундах друг от друга. Их учетные записи также были отключены. Подозреваю из-за гашения пароля. Когда мы снова включали учетные записи, мы получали ошибку о том, что пароль не соответствует требованиям. Итак, нам пришлось сбросить все их пароли. Учетные записи также были отключены от их почтовых ящиков Exchange, и нам пришлось повторно подключить их. Даже все их группы были удалены.
Мы заметили кое-что странное, что все они были отсортированы в алфавитном порядке по cn, среди первых одного-трех пользователей в своем контейнере OU. Кроме того, никаких закономерностей замечено не было.
Сначала я подумал, что это могло быть вызвано тем, что кто-то написал сценарий и облажался. Но тот факт, что пароли были пустыми, заставляет меня думать, что этого нельзя было сделать с помощью сценария.
К сожалению, по причинам, которые я не буду вдаваться в подробности, мы не включили аудит.
Кто-нибудь видел это раньше? Вы знаете, чем это могло быть вызвано?
Похоже, кто-то или что-то удалили учетные записи, а затем восстановили их. (Представьте, как администратор говорит: «Вот дерьмо» - мы все были там.) Это то же самое поведение, которое вы наблюдали, когда восстанавливали / реанимировали объекты, которые были удалены, еще в старые времена, до появления корзины AD. . Объект восстанавливается с пустым паролем и в результате отключается, а большинство атрибутов и членство в группах теряются.
Проверьте журналы событий безопасности на контроллерах домена, если у вас включен аудит. Если нет, проверьте repadmin / showobjmeta.