在ad的环境中,经常有人误删账户或者将成员从安全组删除或者添加。 如果是ad账户被误删,可以通过另外一个文章查找: https://blog.51cto.com/xiaoyuanzheng/5611414
不过总的来说,最好就是启用了ad高级日志,之后通过elk等日志收集软件,将所有日志收集起来,实现快速搜索。如果没有日志平台的话,那就先继续用下面的方法。
如果是发生了组成员被删除,应该如何处理呢?
可以通过命令查看该组的情况: repadmin /showmeta "CN=Administrators,CN=Builtin,DC=contoso,DC=com" 在获取到的属性里面,可分辨名称下面会列出存在和不存在(present absent),这个有最近一段时间对ad组的成员的操作,里面标记的时间就是最后一次修改这个成员的时间。且里面的originating dsa下面会有最后一次操作的域控服务器的计算机名称
这个时候,你可以登录到上述描述的域控服务器,筛选指定的时间的日志查看,可以直接查找他的 4729 ID的日志。
