Кто то удалил domain admins с группы Administrators на домен контроллере, как можно узнать кто это сделал?

Question

shledon @shledon

Кто то удалил domain admins с группы Administrators на домен контроллере, как можно узнать кто это сделал?

В логах очень много информации, есть ли способ узнать кто редактировал группы ну или хотя бы кто заходил на домен контроллер.

Вопрос задан более двух лет назад
305 просмотров

2 комментария

Подписаться 3 Простой 2 комментария

Помогут разобраться в теме Все курсы

Нетология

Системный администратор

11 месяцев

Далее
Skillfactory

DevOps-инженер

6 месяцев

Далее
Яндекс Практикум

Системный администратор

6 месяцев

Далее

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Windows

+1 ещё

Простой
Удаление кэшированного пароля Windows — как?
- 3 подписчика
- 14 нояб.
- 248 просмотров
3

ответа
Системное администрирование

+1 ещё

Простой
Актуален ли еще Kaspersky Security для Windows Server 11/12?
- 2 подписчика
- 12 нояб.
- 320 просмотров
3

ответа
Системное администрирование

+2 ещё

Средний
Как победить бесконечную загрузку TLS континент?
- 1 подписчик
- 11 нояб.
- 179 просмотров
1

ответ
Системное администрирование

+2 ещё

Средний
Сервер с GPU предназначен ли для запуска фронтенда/бэкенда или он для вычислений?
- 1 подписчик
- 08 нояб.
- 260 просмотров
1

ответ
Active Directory

Простой
Как выяснить причину блокирования учетки в AD?
- 3 подписчика
- 07 нояб.
- 269 просмотров
5

ответов
Системное администрирование

Простой
Чем заменить AnyDesk?
- 12 подписчиков
- 07 нояб.
- 7759 просмотров
9

ответов
Active Directory

Простой
Почему пользователь не может войти в свою учётную запись в домене?
- 2 подписчика
- 04 нояб.
- 238 просмотров
2

ответа
Системное администрирование

+1 ещё

Простой
Какие нужны навыки начинающему junior сис админу и каков его карьерный рост?
- 6 подписчиков
- 23 окт.
- 1154 просмотра
4

ответа
Компьютерные сети

+2 ещё

Простой
Возможно ли вывести изображение с ноутбука на три разных андроид телевизора внутри локальной сети(некий аналог anydesk)?
- 3 подписчика
- 22 окт.
- 501 просмотр
2

ответа
Системное администрирование

+2 ещё

Простой
Отвал VPN тунеля при подключении по RDP?
- 1 подписчик
- 22 окт.
- 592 просмотра
0

ответов
Показать ещё Загружается…

Mobile-Backend QA Engineer (Automation)

SMALL

от 150 000 до 200 000 ₽

React Native разработчик

SMALL

от 180 000 до 250 000 ₽

Senior backend-разработчик в команду управления доступами

SMALL

от 3 400 до 4 700 $

Дополню Alexey Dmitriev - в журнале безопасности (Security Log) на контроллере ищите события 4733 (удаление участника из группы безопасности) и/или 4735 (изменение группы безопасности)
Логи. На будущее - поставьте, например, graylog и собирайте важные события из логов

Answer 1 · 2023-01-20 14:22:49

1. На контроллере домена нет группы Administrators.
2. В качестве этой группы опосредованно выступает доменный принципал Builtin\Administrators, из которого удалить членов можно без входа на DC. Судя по вопросу вы это не знали - и могли и удалить это сами из остастки AD.

Кто то удалил domain admins с группы Administrators на домен контроллере, как можно узнать кто это сделал?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт