Usuários do Active Directory - todos os atributos de repente em branco

5

Tivemos uma instância ontem em que aproximadamente 130 dos nossos mais de 5.000 objetos do usuário ficaram corrompidos de repente. Todos os atributos que você pode definir com a exceção de sAMAccountName e cn foram limpos, incluindo sua senha, apesar da política proibir qualquer coisa com menos de 8 caracteres. Os carimbos de data / hora modificados ficaram todos separados por segundos. Suas contas também foram desativadas. Eu suspeito por causa da supressão da senha. Quando voltamos a reativar as contas, recebemos um erro informando que a senha não atendia aos requisitos. Então, tivemos que redefinir todas as suas senhas. As contas também foram desvinculadas da caixa de correio do Exchange e nós tivemos que reconectá-las. Mesmo todos os membros do grupo foram removidos.

Algo estranho que notamos é que todos eles foram, quando classificados em ordem alfabética por cn , entre os primeiros um a três usuários em seu contêiner da UO. Além disso, nenhum padrão foi notado.

Inicialmente, pensei que isso poderia ter sido causado por alguém escrevendo um roteiro e estragando tudo. Mas o fato de as senhas terem sido colocadas em branco me faz acreditar que isso não poderia ter sido feito por meio de um script.

Infelizmente, por motivos que não entro, não temos a auditoria ativada.

Alguém já viu isso antes? Você sabe o que pode ter causado isso?

    
por Drew Chapin 14.11.2014 / 03:41

1 resposta

7

Parece que alguém ou algo excluiu as contas e as restaurou. (Imagine um admin dizendo "oh merda" - todos nós já passamos por isso.) Esse é o mesmo tipo de comportamento que você veria ao restaurar / reanimar objetos que foram excluídos, antigamente, antes da Lixeira do AD . O objeto é restaurado com uma senha em branco e é desativado como resultado, e a maioria dos atributos e associações a grupos são perdidos.

Verifique os logs de eventos de segurança em seus DCs se você tiver a auditoria ativada. Se você não fizer isso, verifique repadmin / showobjmeta.

    
por 15.11.2014 / 04:41