Ok, eu encontrei o culpado.
Uma equipe de desenvolvimento estava usando nosso AD como uma sandbox para o novo software, e eles tinham algum problema no banco de dados que estavam usando.
Está tudo resolvido agora.
Obrigado a todos pela ajuda.
Estou tentando saber o que está alterando um dos atributos no meu diretório ativo. Alguns endereços de e-mail (atributo: Mail) são alterados e ninguém parece saber o motivo.
Eu criei uma política de auditoria em Configuração do Computador > Políticas > Configurações do Windows > Configurações de segurança > Configuração avançada da política de auditoria > Políticas de Auditoria. Ativei "gerenciamento de contas" e "acesso ds". Eu sei de fato que este GP funciona, quando eu mudo o nome de exibição de um usuário, recebo um evento no meu visualizador de eventos.
O problema é: ele não registra todos os atributos, apenas esta lista:
Atributos alterados:
Nome da conta do SAM
Nome de exibição
Nome principal do usuário
Diretório Inicial
Home Drive
Caminho do script
Caminho do perfil
Estações de trabalho do usuário
Password Last Set
Conta expira
ID do grupo principal
AllowedToDelegateTo Review
Valor antigo do UAC
Novo Valor do UAC
Controle de conta de usuário
Parâmetros do usuário
História do SID
Horário de Logon
Portanto, não posso auditar o que preciso auditar no meu anúncio.
Como posso auditar o campo "mail" dos meus usuários?
Eu não acho que é a troca em si: alguns usuários estão no O365, outros em troca.
Nós temos o mesmo problema em três OU diferentes.
alguns são conta pessoal, outros são conta do sistema.
Com o comando repadmin /showobjmeta , I Pint apontou o DC onde a mudança está originando, mas não sei como rastreá-la ainda mais.
Agradecemos antecipadamente por suas respostas amáveis.