上周在客户那里遇到了一件很郁闷的事,AD中的几个重要帐户被莫名其妙的删除了,而且很不幸的是其中之一正是OCS2007以及MOSS2007的服务帐户。结果可想而知,由于即时消息系统以及内网外网门户协作平台全部瘫痪,IT部从早上就开始不断接到求助电话。
面对突然发生的灾难,IT管理员针对不同的恢复级别以及服务中断时间可能会有N种恢复方法,这些包括:整个目录数据库的恢复、删除对象的恢复、OCS服务的恢复的以及MOSS的恢复等。但是今天博文的重点不是上面所说的修复过程,因为就事情本身这首先是一个管理问题而后才是一个技术问题,或者说如果没有完善的管理规章基础再好的技术也不能发挥他应有的作用。
我们可以将整个事情简单的划分为4个步骤:事件发现->故障分析-> 故障排除->日志审核。今天要介绍的就是其中的最后一步,如何通过日志查找引起此次故障的源头,看看是谁动了你的活动目录。
 
配置活动目录审核
在审核用户操作以前,我们首先需要在策略中开启审核设置,然后系统日志中才会记录相应的操作
帐户管理作为审核对象,因为在AD审核中,我们需要记录的操作,如:创建帐户、删除帐户、禁用帐户、重设密码等都在这个范畴里。
 
配置审核用户操作
配置过对DC的审核后,我们可以对需要进行审核的帐户以及审核的操作进行设置
首先打开AD用户和计算机,在查看中打开高级功能选项,在默认设置下是无法对审核进行设置的
 
我要在域内配置审核,因此在ocstest.test上点击属性,在实际应用中,我们也可以对某个重要OU容器进行审核
 
默认策略对Domain Users组进行审核,也就是审核所有用户的操作,为了方便演示我将系统审核项目删除,并且添加一条对于用户董君的审核记录
 
在审核项目管理员还可以对审核的对象和属性进一步进行筛选,这样做的好处是可以降低DC的压力
 
首先做一个删除用户的操作
 
在日志的安全性日志中经过刷新出现如下新日志。
 
打开这条日志,我们发现刚才的操作已经被审核日志记录下来了,通过日志我们可以知道,在20081027 中午13:47:09秒用户jun.dong 删除了用户fumin
 
并且我们可以发现由于刚才的日志,现在系统只记录用户jun.dong的帐户管理操作了
 
我们再对用户重设密码,看看日志是否记录
 
审核日志依然完整无误的记录了我的操作
除了帐户删改等操作,审核日志还记录了很多事件ID供管理员查找
下面列举一些常见的也比较有用的事件ID
帐户管理事件
  • 624:用户帐户已创建。
  • 627:用户密码已更改。
  • 628:用户密码已设置。
  • 630:用户帐户已删除。
  • 631:全局组已创建。
  • 632:成员已添加至全局组。
  • 633:成员已从全局组删除。
  • 634:全局组已删除。
  • 635:已新建本地组。
  • 636:成员已添加至本地组。
  • 637:成员已从本地组删除。
  • 638:本地组已删除。
  • 639:本地组帐户已更改。
  • 641:全局组帐户已更改。
  • 642:用户帐户已更改。
  • 643:域策略已修改。
  • 644:用户帐户被自动锁定。
  • 645:计算机帐户已创建。
  • 646:计算机帐户已更改。
  • 647:计算机帐户已删除。
  • 648:禁用安全的本地安全组已创建。
  • 649:禁用安全的本地安全组已更改。
  • 650:成员已添加至禁用安全的本地安全组。
  • 651:成员已从禁用安全的本地安全组删除。
  • 652:禁用安全的本地组已删除。
  • 653:禁用安全的全局组已创建。
  • 654:禁用安全的全局组已更改。
  • 655:成员已添加至禁用安全的全局组。
  • 656:成员已从禁用安全的全局组删除。
  • 657:禁用安全的全局组已删除。
  • 658:启用安全的通用组已创建。
  • 659:启用安全的通用组已更改。
  • 660:成员已添加至启用安全的通用组。
  • 661:成员已从启用安全的通用组删除。
  • 662:启用安全的通用组已删除。
  • 663:禁用安全的通用组已创建。
  • 664:禁用安全的通用组已更改。
  • 665:成员已添加至禁用安全的通用组。
  • 666:成员已从禁用安全的通用组删除。
  • 667:禁用安全的通用组已删除。
  • 668:组类型已更改。
  • 684:管理组成员的安全描述符已设置。
登录事件ID
  • 528:用户成功登录到计算机。
  • 529:登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。
  • 530:登录失败。试图在允许的时间外登录。
  • 531:登录失败。试图使用禁用的帐户登录。
  • 532:登录失败。试图使用已过期的帐户登录。
  • 533:登录失败。不允许登录到指定计算机的用户试图登录。
  • 534:登录失败。用户试图使用不允许的密码类型登录。
  • 535:登录失败。指定帐户的密码已过期。
  • 536:登录失败。Net Logon 服务没有启动。
  • 537:登录失败。由于其他原因登录尝试失败。 
  • 538:用户的注销过程已完成。
  • 539:登录失败。试图登录时,该帐户已锁定。
  • 540:用户成功登录到网络。
  • 541:本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式 Internet 密钥交换 (IKE) 身份验证已完成,或者快速模式已建立了数据频道。
  • 542:数据频道已终止。
  • 543:主要模式已终止。
 
筛选日志
进行过上面的操作以后,我们已经对系统的审核进行了简单的设置,通过日志可以发现谁对活动目录做了什么操作,但是在一个大中型目录结构中管理员依然要面对庞大的事件记录日志,要发现某个记录依然要耗费大量精力,这是日志的筛选功能就可以派上用途了
点击查看选择筛选选项
我们要查找安全日志所以在事件来源处选择Security 事件类别中选择帐户管理,博友可以举一反三对其他事件进行筛选
 
通过这个设置我们就将用户jun.dong的所有帐户删除操作列出来了,一目了然。