Sto lavorando a un potenziale problema internamente in cui qualcuno ha accesso per aggiungere utenti ai gruppi ai fini della distribuzione delle email. Recentemente ho scoperto che il gruppo di help desk di AD ha aggiunto il gruppo Administrators, che non dovrebbe essere. L'ho rimosso due volte e il gruppo continua ad essere riaggiunto. La mia e-mail di modifica giornaliera AD non preleva questa aggiunta per qualche motivo, ma viene visualizzata quando rimuovo il gruppo. Supponevo che i registri fossero cancellati per coprire le tracce, ma poi ho scoperto questa voce nel visualizzatore di eventi:
A member was added to a security-enabled local group.
Subject:
Security ID: SYSTEM
Account Name: BACKUPDC$
Account Domain: DOMAIN
Logon ID: 0x3e7
Member:
Security ID: DOMAIN\help_desk
Account Name: -
Group:
Security ID: BUILTIN\Administrators
Group Name: Administrators
Group Domain: Builtin
Additional Information:
Privileges: -
Ho fatto alcuni test e ho scoperto che quando ho aggiunto l'appartenenza al gruppo con il mio account admin è stato generato un evento appropriato che mostrava il mio account insieme al gruppo di destinazione e il gruppo che è stato aggiunto come ci si aspetterebbe.
Sono corretto nel mio presupposto che i registri siano stati rimossi (dall'utente in questione), o potrebbe trattarsi di una specie di script di accesso strano o qualcosa che sta generando queste modifiche all'iscrizione?