Как может ли сервер продолжать появляться в Фильтр безопасности в моем диспетчере групповой политики?
Я удалил имя сервера $ вручную и дошел до того, что установил Отрицать галочка на Apply group policy под Delegation вкладка> Advanced, но он постоянно меняется на Позволять, или читать, если я его удалил.
100% уверен, что никто больше не добавит это вручную.
Лично я бы проверил этот объект политики. В том же расширенном редакторе безопасности нажмите «Дополнительно», затем «Аудит» и добавьте запись для всех успехов для записи всех свойств и изменения разрешений.
Убедитесь, что DC настроен на аудит событий доступа к DS. Вы можете использовать auditpol.exe или групповые политики для установки / выполнения детальной конфигурации аудита. Я не буду вдаваться в подробности, так как не знаю, применяете ли вы конкретную политику аудита с помощью устаревших групповых политик или новой опции групповой политики «расширенная конфигурация политики аудита».
На вкладке сведений о GPMC для объекта групповой политики отображается идентификатор GUID. Затем вы можете просмотреть метаданные репликации, находясь на DC, чтобы узнать, когда ntsecuritydescriptor был изменен и на каком DC через исходный столбец dsa и столбцы времени.
repadmin /showobjmeta . "CN={insertgpoguid},CN=policies,CN=systemm,dc=domain,dc=com"
замените dc = domain, dc = com, если применимо.
Затем перейдите к просмотру события аудита на этом DC в то время, предполагая, что журнал безопасности не обернут, чтобы увидеть, кто / что это сделал.