Temos a auditoria de segurança do AD DS ativada em um domínio de nível funcional do Windows Server 2008r2. Usamos uma ferramenta de terceiros para nos alertar sobre alterações em nossos membros do grupo administrativo. Recentemente, excluímos várias contas de serviço que eram membros do grupo de segurança Admins. Do Domínio, mas ninguém foi alertado por nossa ferramenta de terceiros.
Estou tentando determinar se há uma falha em nossa configuração de auditoria, uma falha na ferramenta de terceiros ou se o Windows simplesmente não registra eventos "Membro removido" para grupos de segurança quando um usuário em um grupo de segurança é excluído .
Para ser mais específico, estamos procurando um evento de log de segurança para "Um membro foi removido de um grupo [Universal | Global | Local do domínio] ativado por segurança". Este é o evento que inicia o alerta em nosso aplicativo. Nesse caso, a conta de usuário "membro" foi excluída sem ser explicitamente removida do grupo de segurança. Há um evento registrado para "Uma conta de usuário foi excluída".
Nesse caso, suspeito que o Windows não registrará o evento "Um membro foi removido de um grupo de segurança ... grupo" porque a conta de usuário foi excluída sem ser explicitamente removida do grupo de segurança . Eu gostaria de confirmar essa hipótese. Se minha hipótese é verdadeira, então precisamos ajustar nossos processos. Se minha hipótese é falsa, e o Windows deve registrar este evento, então nossa auditoria está falhando ou mal configurada, ou o aplicativo está falhando.
A auditoria "Gerenciamento de conta" é ativada pelo GPO. Os grupos de segurança Admin têm os eventos de auditoria "Success" adicionados às suas propriedades de segurança. O tamanho do log de segurança em nossos controladores de domínio é de 128 mb. Eu pesquisei o log de eventos de segurança no controlador de domínio para eventos 4733, 4729 e 4757 e não encontrei nenhum, no entanto, o log de eventos recicla após apenas algumas horas com todas as atividades em nosso domínio.
Esses alertas funcionaram no passado para os eventos explícitos adicionados e removidos pelos membros e nenhuma configuração foi alterada (que eu saiba, e eu sou o administrador do AD sys).
Talvez como administrador do AD, eu já deveria saber a resposta para essa pergunta ... mas ninguém sabe de tudo :)
Também fiz essa pergunta no TechNet, mas não obtive respostas úteis.