Protokolliert Windows ein Ereignis "Mitglied entfernt" für Sicherheitsgruppen, wenn ein AD-Benutzerkonto gelöscht wird?

7

In einer Windows Server 2008r2-Domäne auf Funktionsebene ist die AD DS-Sicherheitsüberwachung aktiviert. Wir verwenden ein Tool eines Drittanbieters, um uns auf Änderungen unserer Verwaltungsgruppenmitgliedschaften aufmerksam zu machen. Wir haben kürzlich mehrere Dienstkonten gelöscht, die Mitglieder der Sicherheitsgruppe "Domänenadministratoren" waren, aber niemand wurde von unserem Drittanbieter-Tool benachrichtigt.

Ich versuche festzustellen, ob ein Fehler in unserer Überwachungskonfiguration vorliegt, ein Fehler im Drittanbieter-Tool oder ob Windows beim Löschen eines Benutzers in einer Sicherheitsgruppe einfach keine Ereignisse "Mitglied entfernt" für Sicherheitsgruppen protokolliert.

Um genauer zu sein, suchen wir nach einem Sicherheitsprotokollereignis für "Ein Mitglied wurde aus einer sicherheitsaktivierten Gruppe [Universal | Global | Domain-Local] entfernt." Dies ist das Ereignis, das die Warnung in unserer Anwendung auslöst. In diesem Fall wurde das Benutzerkonto "Mitglied" gelöscht, ohne explizit aus der Sicherheitsgruppe entfernt zu werden. Es wurde ein Ereignis für "Ein Benutzerkonto wurde gelöscht" protokolliert.

In diesem Fall vermute ich, dass Windows das Ereignis "Ein Mitglied wurde aus einer sicherheitsaktivierten ... Gruppe entfernt" nicht protokolliert, da das Benutzerkonto gelöscht wurde, ohne explizit aus der Sicherheitsgruppe entfernt zu werden. Ich möchte diese Hypothese bestätigen. Wenn meine Hypothese wahr ist, müssen wir unsere Prozesse anpassen. Wenn meine Hypothese falsch ist und Windows dieses Ereignis protokollieren sollte, schlägt entweder unsere Überwachung fehl oder ist falsch konfiguriert, oder die Anwendung schlägt fehl.

Die Überwachung "Kontoverwaltung" wird durch das Gruppenrichtlinienobjekt aktiviert. Den Admin-Sicherheitsgruppen werden die Sicherheitsereignisse "Erfolg" zu ihren Sicherheitseigenschaften hinzugefügt. Die Größe des Sicherheitsprotokolls auf unseren Domänencontrollern beträgt 128 MB. Ich habe das Sicherheitsereignisprotokoll auf dem DC nach Ereignissen 4733, 4729 und 4757 durchsucht und keine gefunden. Das Ereignisprotokoll wird jedoch nach nur wenigen Stunden mit allen Aktivitäten in unserer Domäne wiederverwendet.

Diese Warnungen haben in der Vergangenheit für explizite Ereignisse zum Hinzufügen und Entfernen von Mitgliedern funktioniert, und es wurden keine Konfigurationen geändert (die mir bekannt sind und ich bin der AD-Systemadministrator).

Vielleicht sollte ich als AD sys admin schon die Antwort auf diese Frage wissen .. aber niemand weiß alles :)

Ich habe diese Frage auch im TechNet gestellt, aber keine nützlichen Antworten erhalten.

Thomas
quelle

Antworten:

1

Für Sicherheitsgruppen ja:

event ID   Legacy event     criticality  Summary
 4729     633           Low      A member was removed from a security-enabled global group.

Ich glaube nicht, dass die Protokollierung von Verwaltungsereignissen kein Entfernungsereignis protokolliert, da diese Aktion im Fall der Kontolöschung nicht stattgefunden hat.

Jim B.
quelle
1
Ich denke, OP fragt, ob dieses Ereignis ausgelöst wird, wenn ein Benutzer gelöscht, aber nicht explizit zuerst aus der Gruppe entfernt wird.
Jlehtinen
Ich hatte gehofft, jemand könnte eine Referenz von MS finden, die dies definitiv beantworten würde. Ich hatte kein Glück, selbst Referenzen zu finden. In jedem Fall haben wir angenommen, dass die Protokollierung nicht erfolgt, und unsere Prozesse angepasst.
Thomas
1
Ich möchte prüfen, ob die Objektänderung überwacht werden kann, anstatt nach Verwaltungsaktionen zu suchen, und hoffe, dass bei der internen Bereinigung eine Verwaltungsaktion angezeigt wird. Sie könnten versuchen, das memberof-Attribut des gelöschten Objekts zu betrachten, das meiner Meinung nach immer noch den Backlink zur Gruppe enthalten sollte.
Jim B