Допустим, у вас есть группа безопасности. Это недокументировано, никто не знает, «что» он делает, но все «знают», что он для чего-то используется.
Если какое-то приложение (например, SQL Server или какое-то случайное веб-приложение) использует этот объект группы AD в качестве ссылки для определенных разрешений, специфичных для приложения ...
Есть ли ГДЕ смотреть? Проводится ли аудит журнала событий при таком доступе к групповым объектам, и предоставляет ли он соответствующую информацию, такую как процесс, исполняемый файл, пользователь и т. Д.?