昨天我们有一个实例,其中超过5,000个用户对象中的大约130个突然被损坏。 除了sAMAccountName和cn之外,您可以设置的每个属性都被擦除干净,包括密码,尽pipe策略禁止less于8个字符。 修改过的时间戳是彼此相隔的秒数。 他们的帐户也被禁用。 我怀疑是因为密码的空白。 当我们去重新启用帐户,我们会得到一个错误,说密码不符合要求。 所以,我们必须重置所有的密码。 这些帐户也与Exchange邮箱断开连接,我们必须重新连接它们。 即使他们所有的小组成员都被删除了。
奇怪的是,我们注意到,它们都是按字母顺序排列的cn ,在OU容器中的第一个到第三个用户之间。 除此之外,没有任何模式被发现。
起初,我认为这可能是有人写剧本并搞砸了。 但是,密码设置为空白的事实导致我相信,不能通过脚本来完成。
不幸的是,由于我不会进入的原因,我们没有审计打开。
有没有人见过这个? 你知道可能造成了什么吗?
这听起来像某人或某事删除了帐户,然后恢复它们。 (图片pipe理员说“哦,狗屎” – 我们都在那里)。这是在AD回收站之前的旧版本中恢复/恢复已删除对象时看到的那种行为。 该对象用空白密码恢复,因此被禁用,并且大多数属性和组成员资格都将丢失。
如果启用审计,请检查DC上的安全事件日志。 如果你不这样做,请检查repadmin / showobjmeta。