Estou tentando saber o que está alterando um dos atributos no meu diretório ativo. Alguns endereços de e-mail (atributo: Mail) foram alterados e ninguém parece saber por quê.
Criei uma política de auditoria em Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Configuração Avançada de Política de Auditoria > Políticas de Auditoria. Ativei "gerenciamento de contas" e "acesso ds". Eu sei que esse GP funciona, quando altero o nome de exibição de um usuário, recebo um evento no meu visualizador de eventos.
O problema é: ele não registra todos os atributos, apenas esta lista:
Atributos alterados:
Nome da conta SAM
Nome para exibição
Nome principal do usuário
Diretório inicial Unidade
inicial Caminho do
script
Caminho do perfil
Usuário Estações de trabalho
Senha Última configuração
A conta expira
ID do grupo primário
AllowedToDelegateTo
Antigo valor do UAC
Novo Valor UAC
Controle de conta de usuário
Parâmetros de usuário
Histórico de SID
Horas de logon
Portanto, não posso auditar o que preciso auditar no meu AD. Como posso auditar o campo “mail” dos meus usuários?
Não creio que seja o exchange em si: alguns usuários estão no O365, outros no exchange.
Temos o mesmo problema em três UOs diferentes.
alguns são contas pessoais, outros são contas do sistema.
Com o comando repadmin /showobjmeta, Pint apontei o DC de origem da alteração, mas não sei como rastreá-la ainda mais.
Agradecemos antecipadamente por suas amáveis respostas.
Responder1
Ok, encontrei o culpado.
Uma equipe de desenvolvimento estava usando nosso AD como sandbox para seu novo software e teve alguns problemas no banco de dados que estava usando.
Está tudo resolvido agora.
Obrigado a todos pela ajuda.