Dirsync を使用して AD の変更を監視するアプリケーションがあります。ユーザーをグループに追加/削除すると、AD がそのグループのイベントを作成します。しかし、AD からユーザーを削除すると、ユーザー削除の変更ログのみが作成されます。「ユーザーがグループから削除されました」の変更ログを取得できません
この種の変更を表示するために有効にできる設定はありますか?
1 に答える
2
ユーザーを削除しても、グループから自動的に削除されるわけではありません。SID は、手動で削除しない限り、グループ メンバーシップに残ります。これはアクセス制御にも起こります。そのユーザーに共有のアクセス許可を与えた場合、ユーザーを削除した後、共有にユーザー情報が残っていない SID が表示されます。
私の組織は、ユーザーを無効にして、誰かがアカウントを再度有効にした場合にセッションを使用できなくする GPO が添付された「Terminated Users」OU に移動するというポリシーを採用しました。これにより、SID のぶら下がりを回避でき、従業員が退職するたびにグループ メンバーシップの完全な監査を行うことを心配する必要がなくなります。
必要に応じて、ユーザーのすべてのアクセス許可を削除してからユーザーを削除する監査を年に 1 回行うこともできますが、実際には必要ではないと思います。
于 2012-11-06T17:11:08.463 に答える