ID do evento para um renomeação de domínio do Active Directory

4

Minha floresta do Active Directory tem seis domínios filho. Como parte de um controle de segurança, somos obrigados a ser alertados (por exemplo, usando o SCOM) quando alguém aciona uma alteração no nome de domínio.

Minha pergunta: Existe um ID de evento gerado pelo Microsoft Windows 2008 quando um Administrador realiza uma renomeação de domínio? Entendo que, para uma renomeação de servidor / computador, podemos rastreá-la por meio dos IDs de Eventos 4742 ou 6011, mas um domínio renomearia o mesmo ID?

    
por Fahmy Aziz 05.03.2015 / 22:34

1 resposta

3

Quanto a ver que ocorreu uma operação de renomeação de domínio, sim.

Event ID: 1875
Level:    Warning
Source:   ActiveDirectory_DomainService
Log:      Directory Service
Active Directory Domain Services has detected that the replication 
epoch (as indicated by the msDS-ReplicationEpoch attribute of the following object) 
of the local domain controller has been changed. 
This typically occurs as part of the domain rename process. 

Object: 
CN=NTDS Settings,CN=CONTOSO01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Contoso,DC=com 
Old replication epoch: 
0 
New replication epoch: 
1  

As a result, replication between this domain controller and domain controllers 
that are using the old replication epoch is no longer allowed. Replication can 
occur only with those domain controllers using the new replication epoch.
Event ID: 1882
Level:    Information
Source:   ActiveDirectory_DomainService
Log:      Directory Service

Active Directory Domain Services is shutting down the system to 
complete the domain rename operation.

Quanto a ver quem fez isso ... é um pouco mais complicado. Espero que você não tenha mais do que um pequeno punhado de pessoas que poderiam tê-lo feito. Basicamente, habilite a auditoria de acesso a objetos por meio da Política de Grupo e observe as alterações no objeto DC=Domain,DC=com .

Editar: Só queria esclarecer um pouco sobre essa última parte.

Use

repadmin /showobjmeta . "CN=NTDS Settings,CN=CONTOSO01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Contoso,DC=Com"

E se o atributo msDS-ReplicationEpoch tiver sido alterado, ele mostrará a você de qual controlador de domínio foi originado pela alteração (o "DSA de origem") e a que horas. A partir daí, você precisaria inspecionar os registros de segurança no DC de origem para ver quem estava conectado naquele momento.

    
por 06.03.2015 / 00:35