团体 AD Windows Server 2003/2008 R2 随机添加到内置 \ 管理人员

我们有一个奇怪的问题,我们无法理解。 我们继承了域名 FFL / DFL 2003 由此组成的年份 DC 2008 R2 和 2003. 工作站的管理员组在 Builtin \ Administrators, 我不知道。 我们从扩展许可中删除了指定的组,并发现它返回了第二天。

检查组权限 Builtin \ Aministrators, 只有域管理员才能影响它。 我们用了 repadmin, 在发生更改时跟踪:

repadmin /showobjmeta DC01 "CN=Administrators,CN=Builtin,DC=Domain,DC=co,DC=uk"

这向我们展示了发生变化的时间和时间:

PRESENT       member 2012-11-27 10:32:23             Site1\Site1-DC01 2773346 3067148  13



        CN=Workstation Admin,OU=Management Services,OU=HO,OU=Offices,DC=Domain,DC=co,DC=uk

透过安全日志 Site1-DC01, 我们发现:

Event Type: Success Audit

Event Source:   Security

Event Category: Account Management 

Event ID:   636

Date:       27/11/2012

Time:       10:32:23

User:       NT AUTHORITY\SYSTEM

Computer:   STD-DC01

Description:

Security Enabled Local Group Member Added:

        Member Name:    -

        Member ID:  CENTRAL\Workstation Admin

        Target Account Name:    Administrators

        Target Domain:  Builtin

        Target Account ID:  BUILTIN\Administrators

        Caller User Name:   STD-DC01$

        Caller Domain:  CENTRAL

        Caller Logon ID:    (0x0,0x3E7)

        Privileges: -

所以,我们建议团体政策是责任。 当通过所有 GPO 使用用户权限分配,限量组访问或本地用户和组的目标。 我们还查看了所有登录场景,还有没有安装在那里。

检查日志 ADDS, 我们将看到复制应该工作。

它也值得注意的是 Site1-DC01 不符合角色 FSMO 而不是垃圾收集者。

我们在一端是如何重新添加它的决定。 任何人都可以表明我们缺失吗?
2021-03-22 添加评论
分享

没有找到相关结果

    已邀请:

    窦买办

    赞同来自:

    好,找到了答案。 有点尴尬。

    在服务器上是代理人 LANDesk, 还有一项任务 LANdesk, 其中将工作站的一组管理员添加到本网站上所有计算机的本地管理员,因此 DC, 内置域名 \ administrators.

    谢谢大家帮助 !!
    2021-03-22 0 0
    分享

    快网

    赞同来自:

    也许 GPO ... 默认更新间隔 GPO 弥补 90 分钟。 但如果是这个活动 ADD 发生的不仅仅是通过 90 移除后分钟,可能不是。 如果这些事件的时间真的是随机的,它可能是另一个机会。

    如果admin或域管理员想要丢弃曲目,他们可以尝试这样的东西 ...

    用户是否有互动入口 STD-DC01, 活动是什么时候注册? 寻找输入的类型 2 在事件中 528 对于DC. 2003 G。 (或者 4624 对于DC. 2008 G。). 有人有当地入口处的系统 DC 可能会导致 «psexec -i -s cmd», 要将过程作为系统帐户启动,然后执行命令“本地组管理员 net« 工作站管理员 »/ 添加“更改系统帐户的凭据。 过程 Psexec 将作为一个事件显示 592 在安全期刊 2003 一年。 这就是我为测试所做的事,我得到了一个事件 DC 2008 一年。 我没有任何东西 DC 2003 在一年中,看看他是否产生了与您发表的同样的事件。

    Log Name:      Security
    
Source:        Microsoft-Windows-Security-Auditing
    
Date:          11/28/2012 1:20:37 PM
    
Event ID:      4732
    
Task Category: Security Group Management
    
Level:         Information
    
Keywords:      Audit Success
    
User:          N/A
    
Computer:      theDC.acme.com
    
Description:
    
A member was added to a security-enabled local group.
    

    
Subject:
    
        Security ID:        SYSTEM
    
        Account Name:       theDC$
    
        Account Domain:     acme
    
        Logon ID:       0x3e7
    

    
Member:
    
        Security ID:        acme\Malco
    
        Account Name:       -
    

    
Group:
    
        Security ID:        BUILTIN\Administrators
    
        Group Name:     Administrators
    
        Group Domain:       Builtin
    2021-03-22 0 0
    分享

    八刀丁二

    赞同来自:

    当然,对我来说,听起来像一个组政策对象 ... 特别是有限的组访问。

    发射 "gpresult / Z> gpresult.log"

    然后打开日志文件并查看它。

    唯一要做的是检查它是否在每天同时应用。 / 夜晚。 如果是这样,请查找某处计划任务或第三方控制软件运行和更改权限。
    2021-03-22 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    Copyright © 2023, All Rights Reserved