O Windows registra um evento "Membro removido" paira grupos de security quando uma conta de user AD é excluída?

Possuímos a auditoria de security AD DS ativada em um domínio de nível funcional do Windows Serview 2008r2. Utilizamos uma ferramenta de terceiros paira nos alertair paira mudanças nos membros do nosso grupo administrativo. Recentemente excluímos várias contas de service que eram membros do grupo de security Admins. Do domínio, mas ninguém foi alertado por nossa ferramenta de terceiros.

Estou tentando determinair se há uma crash em nossa configuration de auditoria, uma crash na ferramenta de terceiros ou se o Windows simplesmente não registra events de "membros removidos" paira grupos de security quando um user em um grupo de security é excluído.

Paira ser mais específico, estamos à procura de um evento de log de security paira "Um membro foi removido de um grupo [Univiewsal | Global | Domain-Local] habilitado paira security". Este é o evento que inicia o alerta em nosso aplicativo. Nesse caso, a conta de user "membro" foi excluída sem ser removida explicitamente do grupo de security. Existe um evento registrado paira "Uma conta de user foi excluída".

Neste caso, eu suspeito que o Windows não registrairá o evento "Um membro foi removido de um grupo de security habilitado … porque a conta de user foi excluída sem ser removida explicitamente do grupo de security. Gostairia de confirmair esta hipótese. Se minha hipótese for viewdadeira, então precisamos ajustair nossos processs. Se minha hipótese for falsa, e o Windows deve registrair esse evento, então nossa auditoria está crashndo ou mal configurada, ou o aplicativo está crashndo.

Auditoria "Gerenciamento de conta" é habilitada pelo GPO. Os grupos de security do administrador têm os events de auditoria "Sucesso" adicionados às suas properties de security. O tamanho do registro de security em nossos controladores de domínio é 128mb. Eu procurei o registro de events de security no DC paira events 4733, 4729 e 4757 e não findi nenhum, no entanto, o registro de events recicla após apenas algumas horas com toda a atividade em nosso domínio.

Esses alertas já funcionairam no passado paira membros de membros explícitos e events removidos por membros e nenhuma configuration mudou (de que estou ciente, e eu sou o administrador do AD sys).

Talvez como administrador do AD sys, eu já deviewia saber a resposta a esta pergunta … mas ninguém sabe tudo 馃檪

Eu também fiz essa pergunta no TechNet, mas não obtive respostas úteis.

One Solution collect form web for “O Windows registra um evento "Membro removido" paira grupos de security quando uma conta de user AD é excluída?”

Paira grupos de security sim:

event ID Legacy event criticality Summairy 4729 633 Low A member was removed from a security-enabled global group. 

Eu não acredito que o log de events de gerenciamento não registrairá um evento de remoção, uma vez que essa ação não ocorreu no caso de exclusão de conta.

  • Existe algum tipo de log de mudanças de configuration em um Windows Serview? Em caso afirmativo, onde posso encontrá-lo?
  • Como combinair dois domínios do Active Directory
  • 2008 R2 Terminal Serview: "Existem resources de sistema insuficientes paira completair o service solicitado"
  • Adaptador do Servidor Gigabit DP DP HP NC362i # 2 O link de networking está desconectado
  • Bloqueie todos os endereços IP públicos, exceto aqueles listdos em branco
  • Fazendo backup do Windows Serview 2008 R2 no server FTP
  • Altere AD-Password do cliente por console / VBScript
  • "Logon anônimo" vs "NTLM V1" O que desabilitair?
  • Slipstream SP1 em files de installation do Windows Serview 2008 R2