谁动了你的AD账户

 

上周在客户那里遇到了一件很郁闷的事，AD中的几个重要账户被莫名其妙的删除了，并且很不幸的是其中之一正是OCS2007以及MOSS2007的服务账户。结果可想而知，因为即时消息系统以及内网外网门户协做平台所有瘫痪，IT部从早上就开始不断接到求助电话。

面对忽然发生的灾难，IT管理员针对不一样的恢复级别以及服务中断时间可能会有N种恢复方法，这些包括：整个目录数据库的恢复、删除对象的恢复、OCS服务的恢复的以及MOSS的恢复等。可是今天博文的重点不是上面所说的修复过程，由于就事情自己这首先是一个管理问题然后才是一个技术问题，或者说若是没有完善的管理规章基础再好的技术也不能发挥他应有的做用。

咱们能够将整个事情简单的划分为4个步骤：事件发现->故障分析-> 故障排除->日志审核。今天要介绍的就是其中的最后一步，如何经过日志查找引发这次故障的源头，看看是谁动了你的活动目录。

 

配置活动目录审核

在审核用户操做之前，咱们首先须要在策略中开启审核设置，而后系统日志中才会记录相应的操做

账户管理做为审核对象，由于在AD审核中，咱们须要记录的操做，如：建立账户、删除账户、禁用账户、重设密码等都在这个范畴里。

 

配置审核用户操做

配置过对DC的审核后，咱们能够对须要进行审核的账户以及审核的操做进行设置

首先打开AD用户和计算机，在查看中打开高级功能选项，在默认设置下是没法对审核进行设置的

 

我要在域内配置审核，所以在ocstest.test上点击属性，在实际应用中，咱们也能够对某个重要OU容器进行审核

 

默认策略对Domain Users组进行审核，也就是审核全部用户的操做，为了方便演示我将系统审核项目删除，而且添加一条对于用户董君的审核记录

 

在审核项目管理员还能够对审核的对象和属性进一步进行筛选，这样作的好处是能够下降DC的压力

 

首先作一个删除用户的操做

 

在日志的安全性日志中通过刷新出现以下新日志。

 

打开这条日志，咱们发现刚才的操做已经被审核日志记录下来了，经过日志咱们能够知道，在2008年10月27日 中午13:47:09秒用户jun.dong 删除了用户fumin

 

而且咱们能够发现因为刚才的日志，如今系统只记录用户jun.dong的账户管理操做了

 

咱们再对用户重设密码，看看日志是否记录

 

审核日志依然完整无误的记录了个人操做

除了账户删改等操做，审核日志还记录了不少事件ID供管理员查找

下面列举一些常见的也比较有用的事件ID

账户管理事件

• 624：用户账户已建立。
• 627：用户密码已更改。
• 628：用户密码已设置。
• 630：用户账户已删除。
• 631：全局组已建立。
• 632：成员已添加至全局组。
• 633：成员已从全局组删除。
• 634：全局组已删除。
• 635：已新建本地组。
• 636：成员已添加至本地组。
• 637：成员已从本地组删除。
• 638：本地组已删除。
• 639：本地组账户已更改。
• 641：全局组账户已更改。
• 642：用户账户已更改。
• 643：域策略已修改。
• 644：用户账户被自动锁定。
• 645：计算机账户已建立。
• 646：计算机账户已更改。
• 647：计算机账户已删除。
• 648：禁用安全的本地安全组已建立。
• 649：禁用安全的本地安全组已更改。
• 650：成员已添加至禁用安全的本地安全组。
• 651：成员已从禁用安全的本地安全组删除。
• 652：禁用安全的本地组已删除。
• 653：禁用安全的全局组已建立。
• 654：禁用安全的全局组已更改。
• 655：成员已添加至禁用安全的全局组。
• 656：成员已从禁用安全的全局组删除。
• 657：禁用安全的全局组已删除。
• 658：启用安全的通用组已建立。
• 659：启用安全的通用组已更改。
• 660：成员已添加至启用安全的通用组。
• 661：成员已从启用安全的通用组删除。
• 662：启用安全的通用组已删除。
• 663：禁用安全的通用组已建立。
• 664：禁用安全的通用组已更改。
• 665：成员已添加至禁用安全的通用组。
• 666：成员已从禁用安全的通用组删除。
• 667：禁用安全的通用组已删除。
• 668：组类型已更改。
• 684：管理组成员的安全描述符已设置。

登陆事件ID

• 528：用户成功登陆到计算机。
• 529：登陆失败。试图使用未知的用户名或已知用户名但错误密码进行登陆。
• 530：登陆失败。试图在容许的时间外登陆。
• 531：登陆失败。试图使用禁用的账户登陆。
• 532：登陆失败。试图使用已过时的账户登陆。
• 533：登陆失败。不容许登陆到指定计算机的用户试图登陆。
• 534：登陆失败。用户试图使用不容许的密码类型登陆。
• 535：登陆失败。指定账户的密码已过时。
• 536：登陆失败。Net Logon 服务没有启动。
• 537：登陆失败。因为其余缘由登陆尝试失败。 
• 538：用户的注销过程已完成。
• 539：登陆失败。试图登陆时，该账户已锁定。
• 540：用户成功登陆到网络。
• 541：本地计算机与列出的对等客户端身份（已创建安全关联）之间的主要模式 Internet 密钥交换 (IKE) 身份验证已完成，或者快速模式已创建了数据频道。
• 542：数据频道已终止。
• 543：主要模式已终止。

 

筛选日志

进行过上面的操做之后，咱们已经对系统的审核进行了简单的设置，经过日志能够发现谁对活动目录作了什么操做，可是在一个大中型目录结构中管理员依然要面对庞大的事件记录日志，要发现某个记录依然要耗费大量精力，这是日志的筛选功能就能够派上用途了

点击查看选择筛选选项

咱们要查找安全日志因此在事件来源处选择Security 事件类别中选择账户管理，博友能够触类旁通对其余事件进行筛选

 

经过这个设置咱们就将用户jun.dong的全部账户删除操做列出来了，一目了然。