In einer Windows Server 2008r2-Domäne auf Funktionsebene ist die AD DS-Sicherheitsüberwachung aktiviert. Wir verwenden ein Tool eines Drittanbieters, um uns auf Änderungen unserer Verwaltungsgruppenmitgliedschaften aufmerksam zu machen. Wir haben kürzlich mehrere Dienstkonten gelöscht, die Mitglieder der Sicherheitsgruppe "Domänenadministratoren" waren, aber niemand wurde von unserem Drittanbieter-Tool benachrichtigt.
Ich versuche festzustellen, ob ein Fehler in unserer Überwachungskonfiguration vorliegt, ein Fehler im Drittanbieter-Tool oder ob Windows beim Löschen eines Benutzers in einer Sicherheitsgruppe einfach keine Ereignisse "Mitglied entfernt" für Sicherheitsgruppen protokolliert.
Um genauer zu sein, suchen wir nach einem Sicherheitsprotokollereignis für "Ein Mitglied wurde aus einer sicherheitsaktivierten Gruppe [Universal | Global | Domain-Local] entfernt." Dies ist das Ereignis, das die Warnung in unserer Anwendung auslöst. In diesem Fall wurde das Benutzerkonto "Mitglied" gelöscht, ohne explizit aus der Sicherheitsgruppe entfernt zu werden. Es wurde ein Ereignis für "Ein Benutzerkonto wurde gelöscht" protokolliert.
In diesem Fall vermute ich, dass Windows das Ereignis "Ein Mitglied wurde aus einer sicherheitsaktivierten ... Gruppe entfernt" nicht protokolliert, da das Benutzerkonto gelöscht wurde, ohne explizit aus der Sicherheitsgruppe entfernt zu werden. Ich möchte diese Hypothese bestätigen. Wenn meine Hypothese wahr ist, müssen wir unsere Prozesse anpassen. Wenn meine Hypothese falsch ist und Windows dieses Ereignis protokollieren sollte, schlägt entweder unsere Überwachung fehl oder ist falsch konfiguriert, oder die Anwendung schlägt fehl.
Die Überwachung "Kontoverwaltung" wird durch das Gruppenrichtlinienobjekt aktiviert. Den Admin-Sicherheitsgruppen werden die Sicherheitsereignisse "Erfolg" zu ihren Sicherheitseigenschaften hinzugefügt. Die Größe des Sicherheitsprotokolls auf unseren Domänencontrollern beträgt 128 MB. Ich habe das Sicherheitsereignisprotokoll auf dem DC nach Ereignissen 4733, 4729 und 4757 durchsucht und keine gefunden. Das Ereignisprotokoll wird jedoch nach nur wenigen Stunden mit allen Aktivitäten in unserer Domäne wiederverwendet.
Diese Warnungen haben in der Vergangenheit für explizite Ereignisse zum Hinzufügen und Entfernen von Mitgliedern funktioniert, und es wurden keine Konfigurationen geändert (die mir bekannt sind und ich bin der AD-Systemadministrator).
Vielleicht sollte ich als AD sys admin schon die Antwort auf diese Frage wissen .. aber niemand weiß alles :)
Ich habe diese Frage auch im TechNet gestellt, aber keine nützlichen Antworten erhalten.