Deamedr011
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Недавно начали загадочно исчезать учетки пользователей AD в одном OU. Права доменных админов есть у многих, + настроены права для админов OU.
Выяснить, кто удалил пропавшие учетки, как я понимаю, уже не получится, но чтобы отследить такие моменты в будущем, хотел включить аудит для соответствующих событий.
Захожу в редактирование "Default Domain Controllers Policy", включаю "Успех" и "Отказ" в политике "Аудит изменения службы каталогов", выполняю gpupdate /force на контроллере, тут же захожу в "Пользователи и компьютеры", удаляю какого-нибудь пользователя, лезу в Просмотр событий>журналы Windows>Безопасность и не нахожу там, вопреки ожиданиям, события 5136.
Что я делаю не так?
П.С. по фен-шую, конечно, не Default редактировать, а отдельную политику создать для контроллеров, но суть не меняется же от этого, как я понимаю. |
Всего записей: 71 | Зарегистр. 19-01-2005 | Отправлено: 11:36 31-08-2017 | Исправлено: Deamedr011, 11:46 31-08-2017 |
|
