昨天我们遇到了一个实例,我们的 5,000 多个用户对象中大约有 130 个突然损坏。除了 之外的所有可以设置的属性都sAMAccountName
被cn
清除了,包括他们的密码,尽管策略禁止少于 8 个字符。修改的时间戳彼此相隔几秒。他们的帐户也被禁用了。我怀疑是因为密码被清空了。当我们重新启用帐户时,我们会收到一条错误消息,提示密码不符合要求。因此,我们不得不重置他们的所有密码。这些帐户也与他们的 Exchange 邮箱断开了链接,我们不得不重新连接它们。甚至他们的所有群组成员身份都被删除了。
我们注意到一个奇怪的现象:按字母顺序排列时,他们全都位于cn
其 OU 容器中的前 1 到前 3 位用户之列。除此之外,没有发现任何规律。
最初,我以为这可能是有人编写了脚本并搞砸了。但是,密码设置为空白的事实让我相信这不可能是通过脚本完成的。
不幸的是,由于一些我不会详述的原因,我们没有开启审计功能。
有人见过这种情况吗?你知道是什么原因造成的吗?
答案1
这听起来像是某人或某物删除了帐户,然后又恢复了它们。(想象一下管理员说“哦,该死”——我们都经历过这种情况。)这与在 AD 回收站出现之前的旧时代恢复/重新激活已删除的对象时看到的行为相同。对象使用空白密码恢复,结果被禁用,并且大多数属性和组成员身份都丢失了。
如果启用了审核,请检查 DC 上的安全事件日志。如果没有,请检查 repadmin /showobjmeta。