我们在Windows Server 2008r2function级域上启用了AD DS安全审核。 我们使用第三方工具来提醒我们更改我们的pipe理组成员资格。 我们最近删除了几个属于Domain Admins安全组成员的服务帐户,但是没有人通过我们的第三方工具发出警报。
我正在尝试确定在审核configuration中是否存在错误,第三方工具是否存在错误,或者如果安全组中的用户被删除,Windows不会logging安全组的“成员移除”事件。
更具体地说,我们正在寻找一个安全日志事件: “一个成员已从启用安全的[Universal | Global | Domain-Local]组中移除”。 这是在我们的应用程序中启动警报的事件。 在这种情况下,“成员”用户帐户被删除而没有明确从安全组中删除。 有logging“用户帐户被删除”的事件。
在这种情况下,我怀疑Windows不会logging“一个成员已从安全启用…组”事件,因为用户帐户被删除而不被明确地从安全组中删除。 我想证实这个假设。 如果我的假设是真的,那么我们需要调整我们的过程。 如果我的假设是错误的,并且Windows 应该logging此事件,那么我们的审计失败或configuration错误,或者应用程序失败。
GPO启用审计“账户pipe理”。 pipe理员安全组将“成功”审核事件添加到其安全属性中。 我们的域控制器上的安全日志大小为128mb。 我在DC上search了事件4733,4729和4757上的安全事件日志,但没有发现任何事件,但事件日志在我们域中的所有活动仅仅几个小时后就可以回收。
这些警报在过去的显式成员添加和成员删除事件工作,没有configuration已经改变(我知道,我是AD系统pipe理员)。
也许作为AD系统pipe理员,我应该已经知道这个问题的答案..但没有人知道一切:)
我也在TechNet上提出这个问题,但没有得到有用的回应。
对于安全组是的:
event ID Legacy event criticality Summary 4729 633 Low A member was removed from a security-enabled global group. 我不相信pipe理事件日志logging不会logging删除事件,因为删除帐户的操作不会发生。