在我们的 Active Directory 域中,某个用户帐户发生了一些奇怪的事情:
在该用户对象的安全权限中,“包括可从该对象的父级继承的权限”标志一直被禁用。这给该用户带来了一些问题。
如果管理员启用它,几个小时后它又会被禁用。因此,我们启用了该用户对象的审核,以查看是谁或什么在执行此操作。
审计工作:如果我手动选中或取消选中该用户的标志,则会在域控制器的安全日志中创建一个条目,指出目录服务对象已被修改等,...
但是,它不会记录禁用该标志的神秘进程。当我启用该标志时,它会被记录在审计日志中。但几个小时后它又被禁用了,审计日志什么也没显示。
所以我非常困惑。是否有任何进程或用户帐户可以修改 AD 对象,而不会在审计日志中显示?
答案1
您可能正在体验 AdminSDHolder 效应。
属于特定组的帐户受 Active Directory 保护。这意味着系统会阻止他们从父容器继承权限。这是一项安全功能,旨在保护高权限帐户免遭无意修改。
Active Directory AdminSDHolder 对象的描述和更新
http://support.microsoft.com/kb/232199
答案2
您还可以使用 Active Directory Auditor 工具进行检查,它是否会起作用,因为它会审核您的完整域控制器对象并跟踪域中发生的所有活动。