誰動了你的AD賬戶

 

上週在客戶那裏遇到了一件很鬱悶的事，AD中的幾個重要賬戶被莫名其妙的刪除了，並且很不幸的是其中之一正是OCS2007以及MOSS2007的服務賬戶。結果可想而知，因爲即時消息系統以及內網外網門戶協做平臺所有癱瘓，IT部從早上就開始不斷接到求助電話。

面對忽然發生的災難，IT管理員針對不一樣的恢復級別以及服務中斷時間可能會有N種恢復方法，這些包括：整個目錄數據庫的恢復、刪除對象的恢復、OCS服務的恢復的以及MOSS的恢復等。可是今天博文的重點不是上面所說的修復過程，由於就事情自己這首先是一個管理問題然後纔是一個技術問題，或者說若是沒有完善的管理規章基礎再好的技術也不能發揮他應有的做用。

咱們能夠將整個事情簡單的劃分爲4個步驟：事件發現->故障分析-> 故障排除->日誌審覈。今天要介紹的就是其中的最後一步，如何經過日誌查找引發這次故障的源頭，看看是誰動了你的活動目錄。

 

配置活動目錄審覈

在審覈用戶操做之前，咱們首先須要在策略中開啓審覈設置，而後系統日誌中才會記錄相應的操做

賬戶管理做爲審覈對象，由於在AD審覈中，咱們須要記錄的操做，如：建立賬戶、刪除賬戶、禁用賬戶、重設密碼等都在這個範疇裏。

 

配置審覈用戶操做

配置過對DC的審覈後，咱們能夠對須要進行審覈的賬戶以及審覈的操做進行設置

首先打開AD用戶和計算機，在查看中打開高級功能選項，在默認設置下是沒法對審覈進行設置的

 

我要在域內配置審覈，所以在ocstest.test上點擊屬性，在實際應用中，咱們也能夠對某個重要OU容器進行審覈

 

默認策略對Domain Users組進行審覈，也就是審覈全部用戶的操做，爲了方便演示我將系統審覈項目刪除，而且添加一條對於用戶董君的審覈記錄

 

在審覈項目管理員還能夠對審覈的對象和屬性進一步進行篩選，這樣作的好處是能夠下降DC的壓力

 

首先作一個刪除用戶的操做

 

在日誌的安全性日誌中通過刷新出現以下新日誌。

 

打開這條日誌，咱們發現剛纔的操做已經被審覈日誌記錄下來了，經過日誌咱們能夠知道，在2008年10月27日 中午13:47:09秒用戶jun.dong 刪除了用戶fumin

 

而且咱們能夠發現因爲剛纔的日誌，如今系統只記錄用戶jun.dong的賬戶管理操做了

 

咱們再對用戶重設密碼，看看日誌是否記錄

 

審覈日誌依然完整無誤的記錄了個人操做

除了賬戶刪改等操做，審覈日誌還記錄了不少事件ID供管理員查找

下面列舉一些常見的也比較有用的事件ID

賬戶管理事件

• 624：用戶賬戶已建立。
• 627：用戶密碼已更改。
• 628：用戶密碼已設置。
• 630：用戶賬戶已刪除。
• 631：全局組已建立。
• 632：成員已添加至全局組。
• 633：成員已從全局組刪除。
• 634：全局組已刪除。
• 635：已新建本地組。
• 636：成員已添加至本地組。
• 637：成員已從本地組刪除。
• 638：本地組已刪除。
• 639：本地組賬戶已更改。
• 641：全局組賬戶已更改。
• 642：用戶賬戶已更改。
• 643：域策略已修改。
• 644：用戶賬戶被自動鎖定。
• 645：計算機賬戶已建立。
• 646：計算機賬戶已更改。
• 647：計算機賬戶已刪除。
• 648：禁用安全的本地安全組已建立。
• 649：禁用安全的本地安全組已更改。
• 650：成員已添加至禁用安全的本地安全組。
• 651：成員已從禁用安全的本地安全組刪除。
• 652：禁用安全的本地組已刪除。
• 653：禁用安全的全局組已建立。
• 654：禁用安全的全局組已更改。
• 655：成員已添加至禁用安全的全局組。
• 656：成員已從禁用安全的全局組刪除。
• 657：禁用安全的全局組已刪除。
• 658：啓用安全的通用組已建立。
• 659：啓用安全的通用組已更改。
• 660：成員已添加至啓用安全的通用組。
• 661：成員已從啓用安全的通用組刪除。
• 662：啓用安全的通用組已刪除。
• 663：禁用安全的通用組已建立。
• 664：禁用安全的通用組已更改。
• 665：成員已添加至禁用安全的通用組。
• 666：成員已從禁用安全的通用組刪除。
• 667：禁用安全的通用組已刪除。
• 668：組類型已更改。
• 684：管理組成員的安全描述符已設置。

登陸事件ID

• 528：用戶成功登陸到計算機。
• 529：登陸失敗。試圖使用未知的用戶名或已知用戶名但錯誤密碼進行登陸。
• 530：登陸失敗。試圖在容許的時間外登陸。
• 531：登陸失敗。試圖使用禁用的賬戶登陸。
• 532：登陸失敗。試圖使用已過時的賬戶登陸。
• 533：登陸失敗。不容許登陸到指定計算機的用戶試圖登陸。
• 534：登陸失敗。用戶試圖使用不容許的密碼類型登陸。
• 535：登陸失敗。指定賬戶的密碼已過時。
• 536：登陸失敗。Net Logon 服務沒有啓動。
• 537：登陸失敗。因爲其餘緣由登陸嘗試失敗。 
• 538：用戶的註銷過程已完成。
• 539：登陸失敗。試圖登陸時，該賬戶已鎖定。
• 540：用戶成功登陸到網絡。
• 541：本地計算機與列出的對等客戶端身份（已創建安全關聯）之間的主要模式 Internet 密鑰交換 (IKE) 身份驗證已完成，或者快速模式已創建了數據頻道。
• 542：數據頻道已終止。
• 543：主要模式已終止。

 

篩選日誌

進行過上面的操做之後，咱們已經對系統的審覈進行了簡單的設置，經過日誌能夠發現誰對活動目錄作了什麼操做，可是在一個大中型目錄結構中管理員依然要面對龐大的事件記錄日誌，要發現某個記錄依然要耗費大量精力，這是日誌的篩選功能就能夠派上用途了

點擊查看選擇篩選選項

咱們要查找安全日誌因此在事件來源處選擇Security 事件類別中選擇賬戶管理，博友能夠觸類旁通對其餘事件進行篩選

 

經過這個設置咱們就將用戶jun.dong的全部賬戶刪除操做列出來了，一目瞭然。