Ich versuche herauszufinden, was eines der Attribute in meinem Active Directory ändert. Einige E-Mail-Adressen (Attribut: Mail) wurden geändert und niemand scheint zu wissen, warum.
Ich habe eine Überwachungsrichtlinie unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Überwachungsrichtlinien erstellt. Ich habe „Kontoverwaltung“ und „DS-Zugriff“ aktiviert. Ich weiß, dass diese GP funktioniert. Wenn ich den Anzeigenamen eines Benutzers ändere, wird in meiner Ereignisanzeige ein Ereignis angezeigt.
Das Problem ist: Es werden nicht alle Attribute protokolliert, nur diese Liste:
Geänderte Attribute:
SAM-Kontoname
Anzeigename
Benutzerprinzipalname
Home-Verzeichnis
Home-Laufwerk
Skriptpfad
Profilpfad
Benutzerarbeitsstationen
Kennwort Zuletzt festgelegtes
Konto läuft ab
Primäre Gruppen-ID
AllowedToDelegateTo
Alter UAC-Wert
Neuer UAC-Wert
Benutzerkontensteuerung
Benutzerparameter
SID-Verlauf
Anmeldezeiten
Ich kann also nicht prüfen, was ich in meinem AD prüfen muss. Wie kann ich das „Mail“-Feld meiner Benutzer prüfen?
Ich glaube nicht, dass es an Exchange selbst liegt: Einige Benutzer sind in O365, andere in Exchange.
Wir haben das gleiche Problem in drei verschiedenen OUs.
Einige sind persönliche Konten, andere sind Systemkonten.
Mit dem Befehl repadmin /showobjmetahabe ich den DC identifiziert, von dem die Änderung ausgeht, weiß aber nicht, wie ich sie weiter verfolgen kann.
Vielen Dank im Voraus für Ihre freundlichen Antworten.
Antwort1
Ok, ich habe den Täter gefunden.
Ein Entwicklerteam nutzte unser AD als Sandbox für seine neue Software und hatte ein Problem mit der verwendeten Datenbank.
Jetzt ist alles geklärt.
Vielen Dank an alle für die Hilfe.