在我们的Active Directory域中,我们有一些奇怪的事情发生在某个用户帐户上:
在该用户对象的安全权限中,“包含来自该对象父级的可inheritance权限”标志不断被禁用。 这导致该用户的一些问题。
如果pipe理员启用它,几个小时后再次禁用它。 所以我们启用了对该用户对象的审计,以查看谁或正在做什么。
审计工作:如果我手动检查或取消选中该用户的标志,在域控制器上的安全日志中创build一个条目,指出一个目录服务对象被修改等,…
但是,它不logging禁用标志的神秘进程。 当我启用标志时,它将被logging在审计日志中。 但几个小时后,它的残疾人再次审计日志什么也没有显示。
所以我很难过 是否有任何进程或用户帐户可以修改AD对象,而不会在审计日志中显示?
您可能遇到AdminSDHolder影响。
作为特定组成员的帐户受Active Directory保护。 这意味着系统阻止他们inheritance父容器的权限。 这是一个安全function,旨在保护高特权帐户免受无意修改。
Active Directory AdminSDHolder对象的说明和更新
http://support.microsoft.com/kb/232199
您还可以使用Active Directory审核工具对其进行检查,审核您的完整域控制器对象,并对您的域中发生的所有活动进行跟踪。