| ultrakiller |
15-02-2010 13:52 1347555 |
Узнать кто удалил машину из домена
Проблема такая. На КД по удаленному рабочему столу имеет доступ только несколько человек.. Кто -то из этих несколько случайно или не знаю как кильнул пару машин из домена.. Никто не признается. Можно ли как то узнать историю удаления и добавления машин в домен..
|
| Ivan Bardeen |
15-02-2010 14:45 1347592 |
Об этом свидетельствует событие в логе безопасности одного из КД за номером 4743
Если не найдете - уже не узнать
|
| ultrakiller |
15-02-2010 15:16 1347625 |
А для 2003 (он резервный кд)--- это актуально... я просто не нашел нигде этот номер
|
| Ivan Bardeen |
15-02-2010 19:54 1347876 |
Цитата:
Цитата ultrakiller
А для 2003 (он резервный кд)--- это актуально... я просто не нашел нигде этот номер »
|
Нет, для 2к3 это не актуально. У 2к3 ID равно 647 |
| ultrakiller |
16-02-2010 10:28 1348360 |
Спасибо ушел лог ...
|
| Ivan Bardeen |
16-02-2010 10:42 1348371 |
Возможно он не включен в default domain controller policy, например
Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy\Account management
|
| ultrakiller |
16-02-2010 11:06 1348395 |
А как конкретно называется параметр
|
| Ivan Bardeen |
16-02-2010 11:09 1348397 |
Цитата:
Цитата Ivan Bardeen
Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy\Account management »
|
Так и называется. Включаете регистрацию событий при success и failure попытках |
| ultrakiller |
16-02-2010 11:50 1348417 |
Я просто по невнимательности не туда глянул
Цитата:
Аудит входа в систему Успех
Аудит доступа к объектам Нет аудита
Аудит доступа к службе каталогов Успех
Аудит изменения политики Успех
Аудит использования привилегий Нет аудита
Аудит отслеживания процессов Успех
Аудит системных событий Успех
Аудит событий входа в систему Успех
Аудит управления учетными записями Успех
|
Все ли включено |
| Ivan Bardeen |
16-02-2010 12:07 1348436 |
Цитата:
Цитата ultrakiller
Аудит управления учетными записями Успех »
|
Ну да, значит логи "ушли" |
| ultrakiller |
16-02-2010 12:12 1348440 |
А он должен быть в каком состоянии
|
| Ivan Bardeen |
16-02-2010 12:13 1348442 |
Цитата:
Цитата ultrakiller
А он должен быть в каком состоянии »
|
Кто "он"? |
| ultrakiller |
16-02-2010 12:18 1348447 |
Аудит управления учетными записями
..
|
| Ivan Bardeen |
16-02-2010 12:23 1348454 |
Ну у вас настроена регистрация событий управления УЗ при успешной попытке.
Если например кто-то попытается удалить УЗ и у него, например, не хватит прав на это - то у вас это событие не зарегистрируется. Чтобы такие попытки регистрировались нужно поставить галку "отказ"
По поводу "должен" - собственно как вам нужно так и настраивайте - на остальной функционал системы это никак не влияет
|
Время: 02:43.
© OSzone.net 2001-
