Client werden automatisch verschoben
Guten Tag,
kurz was zur Infrastruktur:
Domäne 2012R2
Client: Windows 7 32 bit
Seit Montag haben wir das Problem, das um 21:02 Uhr die Client im AD von unseren "Standards OU`s" in die "Computers OU" automatisch verschoben werden. Im Log finde ich dazu irgendwie dazu gar nix
Hatte jemand so ein Phänomen schon mal?
ich vermute fast das dies irgendein Service Account verursacht, aber müsste da in den Logs nicht was drinstehen das Clients verschoben wurden?
Danke für Eure hilfe
kurz was zur Infrastruktur:
Domäne 2012R2
Client: Windows 7 32 bit
Seit Montag haben wir das Problem, das um 21:02 Uhr die Client im AD von unseren "Standards OU`s" in die "Computers OU" automatisch verschoben werden. Im Log finde ich dazu irgendwie dazu gar nix
Hatte jemand so ein Phänomen schon mal?
ich vermute fast das dies irgendein Service Account verursacht, aber müsste da in den Logs nicht was drinstehen das Clients verschoben wurden?
Danke für Eure hilfe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 331528
Url: https://administrator.de/forum/client-werden-automatisch-verschoben-331528.html
Ausgedruckt am: 23.12.2024 um 10:12 Uhr
11 Kommentare
Neuester Kommentar
Hi.
Schalte das ActiveDirectory-Auditing in der lokalen Sicherheitsrichtlinie am DC ein und setze einen Überwachungseintrag auf die OUs. Dann stehen die Infos zum Verschiebevorgang anschliessend im Security-Eventlog.
Gruß
Schalte das ActiveDirectory-Auditing in der lokalen Sicherheitsrichtlinie am DC ein und setze einen Überwachungseintrag auf die OUs. Dann stehen die Infos zum Verschiebevorgang anschliessend im Security-Eventlog.
Gruß
Hi,
ein Service Account alleine wird sowas nicht verursachen können. Da muss schon irgendeine Logik mit diesem Konto laufen, sprich ein Programm (Exe oder Script, egal).
Wieviel DC's in der Domäne? Falls mehrere: Was sagt DCDIAG?
Habt Ihr irgendeine Software für UAI? Falls ja: Da ist nicht zufällig ein Schritt zum Domänenbeitritt dabei?
E.
ein Service Account alleine wird sowas nicht verursachen können. Da muss schon irgendeine Logik mit diesem Konto laufen, sprich ein Programm (Exe oder Script, egal).
Wieviel DC's in der Domäne? Falls mehrere: Was sagt DCDIAG?
Habt Ihr irgendeine Software für UAI? Falls ja: Da ist nicht zufällig ein Schritt zum Domänenbeitritt dabei?
E.
Wie groß kann das Sicherheits-Log werden? Reichen die Events überhaupt bis 21:00 Uhr des Vortags zurück? Falls nein, dann ist das Log wahrscheinlich übergelaufen und die ältesten Events wurden gelöscht. Dann die max. Größe des Logfiles soweit anheben, dass es bis zum Vorabend ausreicht.
Weiterhin: Du musst die Sicherheitslogs auf allen DC's prüfen. Geloggt wird nur auf jenem DC, welcher die Änderung ausgeführt hat.
Weiterhin: Du musst die Sicherheitslogs auf allen DC's prüfen. Geloggt wird nur auf jenem DC, welcher die Änderung ausgeführt hat.
Die Einträge sollten bei einem Verschiebevorgang so aussehen, vermutlich hast du die Überwachungseinträge nicht auf die OUs sondern stattdessen auf die Computerobjekte gesetzt. Also setze sie in den EIgenschaften der OUs.
Erst wird die DN-Eigenschaft des Objekts gelöscht
und danach das Objekt mit den neuen Eigenschaften versehen.
Erst wird die DN-Eigenschaft des Objekts gelöscht
Vorgang:
Vorgangstyp: Object Access
Zugriffe: DELETE
Zugriffsmaske: 0x10000
Zeigt die Eigenschaften an.: DELETE
{bf967a86-0de6-11d0-a285-00aa003049e2}
Vorgang:
Vorgangstyp: Object Access
Zugriffe: Eigenschaft schreiben
Zugriffsmaske: 0x20
Zeigt die Eigenschaften an.: Eigenschaft schreiben
{e48d0154-bcf8-11d1-8702-00c04fb96050}
{bf96793f-0de6-11d0-a285-00aa003049e2}
{bf967a0e-0de6-11d0-a285-00aa003049e2}
{bf967a86-0de6-11d0-a285-00aa003049e2}
Zusätzliche Informationen:
Parameter 1: CN=W10-VM,OU=Sub1,OU=Verwaltung,DC=domain,DC=de
Parameter 2: OU=Sub1,OU=Verwaltung,DC=domain,DC=de
Sicherheits-ID: XX\service_matrix
Kontoname: service_matrix
Na dann weist du ja jetzt wer der Übeltäter ist , vor allem weil:Kontoname: service_matrix
Wir haben Matrix42 im Einsatz,
klingt ja dann irgendwie verdächtig