Em nosso domínio do Active Directory, temos algumas coisas estranhas acontecendo com uma determinada conta de usuário:
Nos direitos de segurança para esse objeto de usuário, o sinalizador "Incluir permissões herdáveis do pai deste objeto" continua ficando desativado. O que causa alguns problemas para esse usuário.
Se um administrador permitir, algumas horas depois ele será desativado novamente. Por isso, ativamos a auditoria nesse objeto de usuário para ver quem ou o que está fazendo isso.
A auditoria funciona: Se eu marcar manualmente ou desmarcar o sinalizador nesse usuário, uma entrada será criada no log de segurança nos controladores de domínio, informando que um objeto de serviço de diretório foi modificado, etc ...
No entanto, ele não registra o processo misterioso que desabilita o sinalizador. Quando eu habilito o sinalizador, ele é registrado no log de auditoria. Mas algumas horas depois ele foi desativado novamente e o registro de auditoria não mostra nada.
Então eu estou bastante perplexo. Existem processos ou contas de usuário que podem modificar objetos do AD sem que isso apareça no log de auditoria?
Você pode estar tendo o efeito AdminSDHolder.
Contas que são membros de grupos específicos são protegidas pelo Active Directory. Isso significa que o sistema impede que eles herdem permissões do contêiner pai. Este é um recurso de segurança, destinado a proteger as contas de alto privilégio contra modificações inadvertidas.
Descrição e atualização do objeto AdminSDHolder do Active Directory
link
Você também pode verificar isso com uma ferramenta do Auditor do Active Directory, pois ela funcionará ao auditar seus objetos completos de controladores de domínio e acompanhar todas as atividades que acontecem no seu domínio.