Estoy tratando de saber qué está cambiando uno de los atributos en mi directorio activo. Algunas direcciones de correo electrónico (atributo: Correo) se cambian y nadie parece saber por qué.
Creé una política de auditoría en Configuración de la computadora> Políticas> Configuración de Windows> Configuración de seguridad> Configuración avanzada de la política de auditoría> Políticas de auditoría. Activé "administración de cuentas" y "acceso ds". Sé con certeza que estos GP funcionan; cuando cambio el nombre para mostrar de un usuario, aparece un evento en mi visor de eventos.
El problema es: no registra todos los atributos, solo esta lista:
Atributos modificados:
Nombre de cuenta SAM
Nombre para mostrar
Usuario Nombre principal
Directorio de inicio
Unidad de inicio
Ruta de script
Ruta de perfil
Usuario Estaciones de trabajo
Contraseña La última
cuenta configurada caduca
ID de grupo principal
AllowToDelegateTo
Antiguo valor de UAC
Nuevo Valor UAC
Control de cuentas de usuario
Parámetros de usuario
Historial de SID
Horas de inicio de sesión
Entonces no puedo auditar lo que necesito auditar en mi AD. ¿Cómo puedo auditar el campo "correo" de mis usuarios?
No creo que sea el intercambio en sí: algunos usuarios están en O365, otros en intercambio.
Tenemos el mismo problema en tres OU diferentes.
algunas son cuentas personales, otras son cuentas del sistema.
Con el comando repadmin /showobjmeta, señalé el DC donde se origina el cambio, pero no sé cómo rastrearlo más.
Gracias de antemano por sus amables respuestas.
Respuesta1
Ok, encontré al culpable.
Un equipo de desarrollo estaba usando nuestro AD como zona de pruebas para su nuevo software y tenían algún problema en la base de datos que estaban usando.
Ya está todo solucionado.
Gracias a todos por la ayuda.