Windows регистрирует событие “Member removed” для групп безопасности, когда AD учетная запись пользователя удалена?
У нас есть AD аудит безопасности DS, включенный на домене функционального уровня Windows Server 2008r2. Мы используем сторонний инструмент для предупреждения нас к изменениям в наших административных составах группы. Мы недавно удалили несколько сервисных учетных записей, которые были членами группы безопасности Администраторов домена, но никто не был предупрежден нашим сторонним инструментом.
Я пытаюсь определить, существует ли отказ в нашей конфигурации аудита, отказ в стороннем инструменте, или если Windows просто не регистрирует события "Member removed" для групп безопасности, когда пользователь в группе безопасности удален.
Чтобы быть точнее, мы ищем событие журнала безопасности для "Участника, был удален из поддерживающей безопасность [Universal|Global|Domain-локальной] группы". Это - событие, которое инициирует предупреждение в нашем приложении. В этом случае "членская" учетная запись пользователя была удалена, не будучи явно удаленным из группы безопасности. Существует событие, зарегистрированное для "Учетной записи пользователя, был удален".
В этом случае я подозреваю, что Windows не зарегистрирует событие "A member was removed from a security enabled... group", потому что учетная запись пользователя была удалена, не будучи явно удаленным из группы безопасности. Я хотел бы подтвердить эту гипотезу. Если моя гипотеза верна, то мы должны скорректировать наши процессы. Если моя гипотеза является ложью, и Windows должен зарегистрировать это событие, то или наш аудит перестал работать или неправильно сконфигурированный, или приложение перестало работать.
Аудит "Ведения счетов" включен GPO. Администраторским группам безопасности добавили события аудита "Успеха" к их свойствам безопасности. Размер журнала безопасности на наших контроллерах домена составляет 128 МБ. Я искал журнал событий безопасности на DC для событий 4733, 4729, и 4757 и не нашел ни один, однако журнал событий перерабатывает только после нескольких часов со всем действием по нашему домену.
Эти предупреждения работали в прошлом на явного добавленного участника, и участник удалил события, и никакие конфигурации не изменились (что я знаю, и я - AD sys администратор).
Возможно, как AD sys администратор я должен уже знать ответ на этот вопрос.. но никто не знает все :)
Я также задал этот вопрос на TechNet, но не получил полезных ответов.
Для групп безопасности: да:
event ID Legacy event criticality Summary
4729 633 Low A member was removed from a security-enabled global group.
Я не верю, что ведение журнала событий управления не приведет к регистрации события удаления, поскольку это действие не было выполнено в случае удаления учетной записи.