AD DS Windows Server 2008r2機能レベルドメインでセキュリティ監査が有効になっています。サードパーティツールを使用して、管理グループメンバーシップへの変更を通知します。最近、いくつかのサービスアカウントを削除しましたDomain Adminsセキュリティグループのメンバーですが、サードパーティのツールによって警告されたユーザーはいません。
監査構成に障害があるか、サードパーティツールに障害があるか、またはセキュリティグループのユーザーが削除されたときにWindowsがセキュリティグループの「メンバーが削除された」イベントをログに記録しないのかを確認しようとしています。
具体的には、次のセキュリティログイベントを探しています"メンバーはセキュリティが有効な[ユニバーサル|グローバル|ドメインローカル]グループから削除されました。"これは、アプリケーションで警告します。この場合、「メンバー」ユーザーアカウントは、セキュリティグループから明示的に削除されずに削除されました。 「ユーザーアカウントが削除されました」というイベントがログに記録されています。
この場合、ユーザーアカウントがセキュリティグループから明示的に削除されずに削除されたため、Windowsは"メンバーはセキュリティが有効な...グループから削除されました"イベントを記録しないと思います。この仮説を確認したいと思います。私の仮説が真実であれば、プロセスを調整する必要があります。私の仮説が偽で、Windows shouldがこのイベントをログに記録する場合、監査が失敗しているか、構成が誤っているか、アプリケーションが失敗しています。
「アカウント管理」の監査は、GPOによって有効になります。管理者セキュリティグループには、セキュリティプロパティに「成功」監査イベントが追加されています。ドメインコントローラのセキュリティログのサイズは128MBです。 DCイベント4733、4729、および4757のセキュリティイベントログを検索しましたが、何も見つかりませんでしたが、ドメインのすべてのアクティビティで数時間後にイベントログがリサイクルします。
これらのアラートは、過去にexplicitメンバーが追加され、メンバーが削除されたイベントで機能し、設定は変更されていません(私は承知しており、私はADシステム管理者です)。
たぶんADシステム管理者として、私はすでにこの質問への答えを知っているはずですが、誰もすべてを知っているわけではありません:)
TechNetでもこの質問をしましたが、有益な回答がありませんでした。
セキュリティグループの場合:
event ID Legacy event criticality Summary
4729 633 Low A member was removed from a security-enabled global group.
アカウントの削除の場合はそのアクションが実行されなかったため、管理イベントのログに削除イベントが記録されないと思います。