我们在 Windows Server 2008r2 功能级别域上启用了 AD DS 安全审核。我们使用第三方工具来提醒我们管理组成员身份的更改。我们最近删除了几个属于域管理员安全组的服务帐户,但我们的第三方工具没有向任何人发出警报。
我试图确定我们的审计配置是否存在错误,第三方工具是否存在错误,或者当安全组中的用户被删除时,Windows 是否根本没有记录安全组的“成员已删除”事件。
更具体地说,我们正在寻找以下安全日志事件:“已从启用安全的 [通用|全局|域-本地] 组中删除一名成员。”这是在我们的应用程序中启动警报的事件。在本例中,“成员”用户帐户被删除,但并未明确从安全组中删除。记录了“用户帐户已被删除”的事件。
在这种情况下,我怀疑 Windows 不会记录“已从启用安全的...组中删除一名成员”事件,因为用户帐户被删除而没有被明确地从安全组中删除。我想确认这个假设。如果我的假设是正确的,那么我们需要调整我们的流程。如果我的假设是错误的,Windows应该记录此事件,则我们的审计失败或配置错误,或者应用程序失败。
GPO 启用了“帐户管理”审核。管理员安全组的安全属性中添加了“成功”审核事件。我们域控制器上的安全日志大小为 128mb。我在 DC 上的安全事件日志中搜索了事件 4733、4729 和 4757,但未找到任何事件,但是事件日志在几个小时后便会循环,其中包含我们域上的所有活动。
这些警报在过去曾发挥作用明确的成员添加和成员删除事件并且没有配置发生改变(我知道,我是 AD 系统管理员)。
也许作为 AD 系统管理员我应该已经知道这个问题的答案了..但没有人知道一切:)
我也在TechNet上问过这个问题,但没有得到有用的答复。
答案1
对于安全组是:
event ID Legacy event criticality Summary
4729 633 Low A member was removed from a security-enabled global group.
我不相信管理事件日志不会记录删除事件,因为在删除帐户的情况下并未发生该操作。