审计 AD 用户帐户的某些更改未显示在审计日志中

审计 AD 用户帐户的某些更改未显示在审计日志中

在我们的 Active Directory 域中,某个用户帐户发生了一些奇怪的事情:

在该用户对象的安全权限中,“包括可从该对象的父级继承的权限”标志一直被禁用。这给该用户带来了一些问题。

如果管理员启用它,几个小时后它又会被禁用。因此,我们启用了该用户对象的审核,以查看是谁或什么在执行此操作。

审计工作:如果我手动选中或取消选中该用户的标志,则会在域控制器的安全日志中创建一个条目,指出目录服务对象已被修改等,...

但是,它不会记录禁用该标志的神秘进程。当我启用该标志时,它会被记录在审计日志中。但几个小时后它又被禁用了,审计日志什么也没显示。

所以我非常困惑。是否有任何进程或用户帐户可以修改 AD 对象,而不会在审计日志中显示?

答案1

您可能正在体验 AdminSDHolder 效应。

属于特定组的帐户受 Active Directory 保护。这意味着系统会阻止他们从父容器继承权限。这是一项安全功能,旨在保护高权限帐户免遭无意修改。

https://blogs.technet.com/b/askds/archive/2009/05/07/five-common-questions-about-adminsdholder-and-sdprop.aspx

Active Directory AdminSDHolder 对象的描述和更新
http://support.microsoft.com/kb/232199

答案2

您还可以使用 Active Directory Auditor 工具进行检查,它是否会起作用,因为它会审核您的完整域控制器对象并跟踪域中发生的所有活动。

相关内容