O Windows registra um evento "Membro removido" paira grupos de security quando uma conta de user AD é excluída?

Possuímos a auditoria de security AD DS ativada em um domínio de nível funcional do Windows Serview 2008r2. Utilizamos uma ferramenta de terceiros paira nos alertair paira mudanças nos membros do nosso grupo administrativo. Recentemente excluímos várias contas de service que eram membros do grupo de security Admins. Do domínio, mas ninguém foi alertado por nossa ferramenta de terceiros.

Estou tentando determinair se há uma crash em nossa configuration de auditoria, uma crash na ferramenta de terceiros ou se o Windows simplesmente não registra events de "membros removidos" paira grupos de security quando um user em um grupo de security é excluído.

Paira ser mais específico, estamos à procura de um evento de log de security paira "Um membro foi removido de um grupo [Univiewsal | Global | Domain-Local] habilitado paira security". Este é o evento que inicia o alerta em nosso aplicativo. Nesse caso, a conta de user "membro" foi excluída sem ser removida explicitamente do grupo de security. Existe um evento registrado paira "Uma conta de user foi excluída".

Neste caso, eu suspeito que o Windows não registrairá o evento "Um membro foi removido de um grupo de security habilitado … porque a conta de user foi excluída sem ser removida explicitamente do grupo de security. Gostairia de confirmair esta hipótese. Se minha hipótese for viewdadeira, então precisamos ajustair nossos processs. Se minha hipótese for falsa, e o Windows deve registrair esse evento, então nossa auditoria está crashndo ou mal configurada, ou o aplicativo está crashndo.

Auditoria "Gerenciamento de conta" é habilitada pelo GPO. Os grupos de security do administrador têm os events de auditoria "Sucesso" adicionados às suas properties de security. O tamanho do registro de security em nossos controladores de domínio é 128mb. Eu procurei o registro de events de security no DC paira events 4733, 4729 e 4757 e não findi nenhum, no entanto, o registro de events recicla após apenas algumas horas com toda a atividade em nosso domínio.

Esses alertas já funcionairam no passado paira membros de membros explícitos e events removidos por membros e nenhuma configuration mudou (de que estou ciente, e eu sou o administrador do AD sys).

Talvez como administrador do AD sys, eu já deviewia saber a resposta a esta pergunta … mas ninguém sabe tudo 🙂

Eu também fiz essa pergunta no TechNet, mas não obtive respostas úteis.