В нашем домене Active Directory с определенной учетной записью пользователя происходят странные вещи:
В правах безопасности для этого пользовательского объекта флаг «Включить наследуемые разрешения от родительского объекта» продолжает отключаться. Что вызывает некоторые проблемы для этого пользователя.
Если администратор включит его, через несколько часов он снова отключится. Итак, мы включили аудит этого пользовательского объекта, чтобы увидеть, кто или что это делает.
Аудит работает: если я вручную устанавливаю или снимаю флажок у этого пользователя, в журнале безопасности на контроллерах домена создается запись, в которой говорится, что объект службы каталогов был изменен и т. Д., ...
Однако он не регистрирует загадочный процесс, отключающий флаг. Когда я включаю флаг, он записывается в журнал аудита. Но через несколько часов он снова отключен, и журнал аудита ничего не показывает.
Так что я в тупике. Существуют ли какие-либо процессы или учетные записи пользователей, которые могут изменять объекты AD, не отображая это в журнале аудита?
Возможно, вы столкнулись с эффектом AdminSDHolder.
Учетные записи, входящие в определенные группы, защищены Active Directory. Это означает, что система не позволяет им наследовать разрешения от родительского контейнера. Это функция безопасности, предназначенная для защиты учетных записей с высокими привилегиями от случайного изменения.
Описание и обновление объекта Active Directory AdminSDHolder
http://support.microsoft.com/kb/232199
Вы также можете проверить это с помощью инструмента Active Directory Auditor, возможно, он будет работать, поскольку он будет проверять ваши полные объекты контроллеров домена и отслеживать все действия, происходящие в вашем домене.