Estoy trabajando en un posible problema interno en el que alguien tiene acceso para agregar usuarios a grupos con fines de distribución de correo electrónico. Recientemente he encontrado que su grupo de ayuda de AD tiene el grupo Administradores agregado, lo cual no debería ser. He eliminado esto dos veces ahora y el grupo continúa siendo re-agregado. Mi correo electrónico de cambio de AD diario no recoge este agregado por algún motivo, pero se muestra cuando elimino el grupo. Asumí que los registros se estaban eliminando para cubrir las pistas, pero luego descubrí esta entrada en el visor de eventos:
A member was added to a security-enabled local group.
Subject:
Security ID: SYSTEM
Account Name: BACKUPDC$
Account Domain: DOMAIN
Logon ID: 0x3e7
Member:
Security ID: DOMAIN\help_desk
Account Name: -
Group:
Security ID: BUILTIN\Administrators
Group Name: Administrators
Group Domain: Builtin
Additional Information:
Privileges: -
Yo mismo hice algunas pruebas y descubrí que cuando agregué esa membresía de grupo con mi cuenta de administrador, se generó un evento adecuado que muestra mi cuenta junto con el grupo de destino y el grupo que se agregó como usted esperaría.
¿Tengo razón al suponer que los registros están siendo eliminados (por el usuario en cuestión), o podría ser algún tipo de secuencia de comandos de inicio de sesión extraño o algo que está generando estos cambios de membresía?