Членство в группе AD не показывает событие изменения при удалении пользователя

Question

Членство в группе AD не показывает событие изменения при удалении пользователя

У меня есть приложение, которое использует Dirsync для мониторинга изменений в AD. Когда я добавляю / удаляю пользователей в группу, AD создает для нее событие. Но когда я удаляю пользователя из AD, он только создает журнал изменений для удаления пользователя. Я не получаю журнал изменений для "пользователя, удаленного из группы"

Есть ли какие-то настройки, которые я могу включить для просмотра изменений такого рода?

0

windows active-directory windows-server-2008-r2 windows-server windows-server-2003

Источник

user92621 06 ноя '12 в 16:59

1 ответ

Другие вопросы по тегам windows active-directory windows-server-2008-r2 windows-server windows-server-2003

user1519681 06 ноя '12 в 17:11 2012-11-06 17:11 · Answer 1 · 2012-11-06 17:11

Когда вы удаляете пользователя, он не удаляется автоматически из группы. Их SID остается в составе группы, если вы не удалите его вручную. Это также относится и к элементам управления доступом. Если вы дали разрешение для общего ресурса этому пользователю, после удаления этого пользователя вы увидите SID без информации о пользователе на общем ресурсе.

Моя организация приняла политику отключения пользователей и их перемещения в подразделение "Прекращенные пользователи" с подключенным объектом групповой политики, что делает их сеанс непригодным для использования, если кому-то удалось повторно активировать учетную запись. Это позволяет нам избежать висячих SID и не беспокоиться о проведении полного аудита членства в группе каждый раз, когда сотрудник уходит.

Если вы хотите, вы можете проводить аудит один раз в год, когда вы удаляете все разрешения для пользователя, а затем удаляете пользователя, но я не считаю, что это необходимо.