Windows Server 2003/2008 R2 AD 组随机添加到 Builtin\Administrators

tag-icon tag-icon windows-server-2003 active-directory windows-server-2008-r2
Windows Server 2003/2008 R2 AD 组随机添加到 Builtin\Administrators

我们遇到了一个奇怪的问题,我们无法理解。我们继承了一个 2003 FFL/DFL 域,其中混合了 2008 R2 和 2003 DC。工作站管理员组位于 Builtin\Administrators 中,我知道这不是很好。我们从提升的权限中移除了该组,结果发现它第二天又回来了。

检查组 Builtin\Aministrators 上的权限,只有域管理员才能影响它,这是理所当然的。我们使用 repadmin 来追踪更改发生的时间:

repadmin /showobjmeta DC01 "CN=Administrators,CN=Builtin,DC=Domain,DC=co,DC=uk"

这向我们展示了变化发生的地点和时间:

PRESENT       member 2012-11-27 10:32:23             Site1\Site1-DC01 2773346 3067148  13

    CN=Workstation Admin,OU=Management Services,OU=HO,OU=Offices,DC=Domain,DC=co,DC=uk

查看 Site1-DC01 上的安全日志我们发现:

Event Type: Success Audit
Event Source:   Security
Event Category: Account Management 
Event ID:   636
Date:       27/11/2012
Time:       10:32:23
User:       NT AUTHORITY\SYSTEM
Computer:   STD-DC01
Description:
Security Enabled Local Group Member Added:
    Member Name:    -
    Member ID:  CENTRAL\Workstation Admin
    Target Account Name:    Administrators
    Target Domain:  Builtin
    Target Account ID:  BUILTIN\Administrators
    Caller User Name:   STD-DC01$
    Caller Domain:  CENTRAL
    Caller Logon ID:    (0x0,0x3E7)
    Privileges: -

因此,我们认为问题出在组策略上。查看所有 GPO 时,发现使用了用户权限分配、受限组访问或本地用户和组分配。我们还查看了所有登录脚本,发现其中也没有设置任何内容。

检查 ADDS 日志后,我们可以看到复制正在正常运行。

还值得一提的是,Site1-DC01 不具备 FSMO 角色,也不是 GC。

我们不知道该如何重新添加。有人能指出我们遗漏了什么吗?

答案1

对我来说这听起来确实像是 GPO...特别是受限组访问。

运行“gpresult /Z > gpresult.log”

然后打开日志文件并查看。

唯一要做的就是检查它是否每天/每晚都在同一时间应用。如果是这样,请查找某个计划任务或第三方管理软件,以启动并更改权限。

答案2

可能是 GPO... GPO 的默认刷新间隔为 90 分钟。但如果 ADD 事件在删除后发生的时间超过 90 分钟,那么可能不是。如果这些事件的时间确实是随机的,那么这可能是另一种可能性。如果
管理员或域管理员想要掩盖他们的踪迹,他们可能会尝试类似这样的方法...
记录事件时是否有任何用户以交互式方式登录到 STD-DC01?在 2003 dc 的事件 528 中查找登录类型 2(或 2008 dc 上的 4624)。在 DC 上具有本地登录权限的人可以调用“psexec -i -s cmd”以系统帐户身份启动进程,然后执行“net localgroup Administrators“workstation admin”/add”以在系统帐户的凭据下进行更改。Psexec 进程将在 2003 安全日志上显示为 592 事件。这就是我测试的方法,我在 2008 DC 上得到了此事件。我没有任何 2003 DC 剩余,无法查看它是否会产生与您发布的完全相同的事件。

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          11/28/2012 1:20:37 PM
Event ID:      4732
Task Category: Security Group Management
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      theDC.acme.com
Description:
A member was added to a security-enabled local group.

Subject:
    Security ID:        SYSTEM
    Account Name:       theDC$
    Account Domain:     acme
    Logon ID:       0x3e7

Member:
    Security ID:        acme\Malco
    Account Name:       -

Group:
    Security ID:        BUILTIN\Administrators
    Group Name:     Administrators
    Group Domain:       Builtin

答案3

好的,找到答案了。有点尴尬。

该服务器上有一个 LANDesk 代理,并且有一个 LANdesk 任务,该任务将工作站管理员组添加到该站点上所有计算机的本地管理员,因此,由于这是 DC,因此域内置管理员。

不过还是感谢大家的帮助!!

相关内容