Кто то удалил domain admins с группы Administrators на домен контроллере, как можно узнать кто это сделал?

Question

shledon @shledon

Кто то удалил domain admins с группы Administrators на домен контроллере, как можно узнать кто это сделал?

В логах очень много информации, есть ли способ узнать кто редактировал группы ну или хотя бы кто заходил на домен контроллер.

Вопрос задан более года назад
218 просмотров

2 комментария

Подписаться 3 Простой 2 комментария

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Apache HTTP Server

+3 ещё

Простой
Как вэб сервер может узнать имя пользователя домена при входящем запросе от пользователя RPD?
- 3 подписчика
- 17 часов назад
- 450 просмотров
1

ответ
Linux

+1 ещё

Простой
Как сделать автоматическую проверку работоспособности и рестарт Apache и Mariadb в случае падения?
- 1 подписчик
- 17 апр.
- 100 просмотров
2

ответа
Windows Server

+2 ещё

Средний
Как запретить смену пароля на определенных учетных записях в AD?
- 1 подписчик
- 17 апр.
- 77 просмотров
1

ответ
Windows Server

+2 ещё

Средний
Как восстановить работу Active Directory в связке Mikrotik + Windows Server?
- 2 подписчика
- 17 апр.
- 202 просмотра
1

ответ
Windows

+1 ещё

Средний
Как открыть экранную клавиатуру в режиме киоска?
- 1 подписчик
- 15 апр.
- 152 просмотра
1

ответ
Системное администрирование

+1 ещё

Простой
Какое можно использовать клиент-серверное приложение видеоконференции p2p?
- 1 подписчик
- 15 апр.
- 64 просмотра
1

ответ
Системное администрирование

+1 ещё

Простой
На каком виртуальном сервере процессор мощнее?
- 1 подписчик
- 14 апр.
- 192 просмотра
3

ответа
Windows

+1 ещё

Простой
Как настроить Windows под гостевой компьютер общего пользования?
- 3 подписчика
- 12 апр.
- 926 просмотров
5

ответов
Системное администрирование

+1 ещё

Простой
Есть централизованный Касперский, как блокировать определенные приложения?
- 1 подписчик
- 12 апр.
- 114 просмотров
3

ответа
Системное администрирование

+1 ещё

Средний
Как называется плата которая ставится между карт ридером и смарт картой, для логирования данных?
- 1 подписчик
- 11 апр.
- 115 просмотров
1

ответ
Показать ещё Загружается…

Инженер по системному администрированию

Деловая среда от Сбербанка • Москва

До 209 000 ₽

Системный администратор (инженер) 🚀

Хабр • Москва

от 140 000 ₽

Системный администратор

Глобал Смарт Системс • Санкт-Петербург

от 100 000 до 120 000 ₽

Дописать функцию на Flutter, работа с yandex map kit

20 апр. 2024, в 04:18

3000 руб./за проект

Английская версия для сайта на WordPress

20 апр. 2024, в 03:34

8000 руб./за проект

Доработать клиентское приложение для GTA 5 на C#

20 апр. 2024, в 00:51

1000 руб./за проект

Дополню Alexey Dmitriev - в журнале безопасности (Security Log) на контроллере ищите события 4733 (удаление участника из группы безопасности) и/или 4735 (изменение группы безопасности)
Логи. На будущее - поставьте, например, graylog и собирайте важные события из логов

Answer 1 · 2023-01-20 14:22:49

1. На контроллере домена нет группы Administrators.
2. В качестве этой группы опосредованно выступает доменный принципал Builtin\Administrators, из которого удалить членов можно без входа на DC. Судя по вопросу вы это не знали - и могли и удалить это сами из остастки AD.

Кто то удалил domain admins с группы Administrators на домен контроллере, как можно узнать кто это сделал?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт