Я пытаюсь узнать, что меняет один из атрибутов в моем активном каталоге. Некоторые адреса электронной почты (атрибут: Mail) изменены, и никто, похоже, не знает, почему.
Я создал политику аудита в Конфигурация компьютера > Политики > Параметры Windows > Параметры безопасности > Конфигурация расширенной политики аудита > Политики аудита. Я активировал "управление учетными записями" и "доступ ds". Я точно знаю, что эти GP работают, когда я меняю отображаемое имя пользователя, я получаю событие в моем средстве просмотра событий.
Проблема в следующем: он не регистрирует все атрибуты, только этот список:
Измененные атрибуты:
Имя учетной записи SAM
Отображаемое имя
Имя участника-пользователя
Домашний каталог
Домашний диск
Путь к скрипту Путь
к профилю
Рабочие станции пользователя
Пароль последней установленной
учетной записи Истекает
Основной идентификатор группы
AllowedToDelegateTo
Старое значение UAC
Новое значение UAC
Управление учетными записями пользователей
Параметры пользователя
История SID
Часы входа в систему
Поэтому я не могу провести аудит того, что мне нужно провести в моем AD. Как мне провести аудит поля "mail" моих пользователей?
Я не думаю, что это сам обмен: некоторые пользователи находятся в O365, другие в обмене.
У нас та же проблема в трех разных OU.
некоторые из них являются личными учетными записями, другие — системными учетными записями.
С помощью команды repadmin /showobjmetaя указал DC, где произошло изменение, но не знаю, как отследить его дальше.
Заранее спасибо за ваши добрые ответы.
решение1
Хорошо, я нашел виновника.
Команда разработчиков использовала нашу AD в качестве «песочницы» для своего нового программного обеспечения, и у них возникла какая-то проблема в используемой ими базе данных.
Теперь все улажено.
Спасибо всем за помощь.