在我们的 Active Directory 域中,某个用户帐户发生了一些奇怪的事情:
在该用户对象的安全权限中,“包括来自该对象父对象的可继承权限”标志一直处于禁用状态。这会给该用户带来一些问题。
如果管理员启用它,几个小时后它会再次被禁用。所以我们启用了对该用户对象的审计,以查看谁或什么在做这件事。
审计工作:如果我手动选中或取消选中该用户的标志,则会在域控制器的安全日志中创建一个条目,说明目录服务对象已被修改等,...
但是,它不会记录禁用标志的神秘过程。当我启用该标志时,它会记录在审核日志中。但几个小时后,它再次被禁用,审计日志什么也没有显示。
所以我很困惑。是否有任何进程或用户帐户可以修改 AD 对象而不显示在审核日志中?
您可能遇到了 AdminSDHolder 效应。
作为特定组成员的帐户受 Active Directory 保护。这意味着系统阻止它们从父容器继承权限。这是一项安全功能,旨在保护高权限帐户免遭无意修改。
https://blogs.technet.com/b/askds/archive/2009/05/07/five-common-questions-about-adminsdholder-and-sdprop.aspx
Active Directory AdminSDHolder 对象的描述和更新
http://support.microsoft.com/kb/232199
您还可以使用 Active Directory Auditor 工具检查它是否可以工作,因为它可以审核您的完整域控制器对象并跟踪您域中发生的所有活动。