昨天我们有一个例子,我们超过 5,000 个用户对象中的大约 130 个突然损坏。尽管政策禁止任何少于 8 个字符的内容,但您可以设置的每个属性sAMAccountName都cn被清除,包括他们的密码。修改后的时间戳彼此相隔几秒。他们的帐户也被禁用。我怀疑是因为密码的空白。当我们重新启用帐户时,我们会收到一条错误消息,指出密码不符合要求。所以,我们不得不重置他们所有的密码。这些帐户也与他们的 Exchange 邮箱取消链接,我们不得不重新连接它们。甚至他们所有的组成员都被删除了。
我们注意到的一些奇怪的事情是,当按字母顺序排序时,所有这些cn用户都在其 OU 容器中的前一到三个用户中。除此之外,没有发现任何模式。
最初,我认为这可能是由于某人编写脚本并搞砸了。但是,密码设置为空白的事实让我相信这不可能通过脚本完成。
不幸的是,由于我不会进入的原因,我们没有打开审计。
有没有人见过这个?你知道可能是什么原因造成的吗?
这听起来像是某人或某事删除了这些帐户,然后又恢复了它们。(想象一个管理员说“哦,狗屎” - 我们都去过那里。)这与您在恢复/重新激活已删除的对象时看到的行为相同,回到 AD 回收站之前的过去. 该对象使用空白密码恢复并因此被禁用,并且大部分属性和组成员身份都将丢失。
如果启用了审核,请检查 DC 上的安全事件日志。如果没有,请检查 repadmin /showobjmeta。