Hallo,
ich habe hier ein Phänomen, welches ich mir nicht erklären kann und benötige dazu etwas Hilfestellung.
Ich habe in einer Domäne mit Level 2008 R2 ein Benutzerobjekt, bei welchem vor vielen Jahren mal die Vererbung der Objektsicherheit deaktiviert wurde. Da ich in der Domäne kürzlich die endlose Zahl der Domänen-Admins bereinigt habe und stattdessen (für zum Beispiel den Helpdesk) die Objektverwaltung mit den explizit benötigten Rechten eingerichtet habe, fiel mir dieser Umstand auf. Ich habe also die Standardrechte an diesem Benutzerobjekt wiederhergestellt, die Vererbung aktiviert und der Helpdesk konnte auch an diesem Objekt Änderungen vornehmen.
Diese Rechte bestehen allerdings nur 1 Stunde. Exakt jede Stunde um XX:19:33 Uhr werden die Rechte an diesem Objekt wieder auf den alten Stand zurückgestellt und die Vererbung deaktiviert.
Der Eintrag im Eventlog eines Domänencontrollers zeigt einen Eintrag mit EventID 4738, Eventsource Microsoft Windows security auditing (ich überwache diverse Dinge im Active Directory mittels Security Auditing) und diesem Eintrag:
A user account was changed.
Subject:
Security ID: S-1-5-7
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0x3e6
Target Account:
Security ID: S-1-5-21-3688547342-1014954150-801694942-3720
Account Name: BENUTZEROBJEKT MIT DEM PHÄNOMEN
Account Domain: UNSER ACCOUNT FOREST
Changed Attributes:
SAM Account Name: -
Display Name: -
User Principal Name: -
Home Directory: -
Home Drive: -
Script Path: -
Profile Path: -
User Workstations: -
Password Last Set: -
Account Expires: -
Primary Group ID: -
AllowedToDelegateTo: -
Old UAC Value: -
New UAC Value: -
User Account Control: -
User Parameters: -
SID History: -
Logon Hours: -
Additional Information:
Privileges: -
Da diesem Objekt (noch) Domänen-Adminrechte gewährt werden müssen und ich nicht ausschließen kann, dass der Benutzer, der dieses Konto nutzt, dort irgendetwas mir unbekanntes tut, habe ich sowohl ANONYMOUS LOGIN als auch dem Konto selbst das Recht "Berechtigungenändern" verweigert (am Objekt selbst). Dies bringt allerdings nichts, exakt zum o.g. Zeitpunkt stellen sich die Rechte erneut zurück. Eine direkte Nachfrage beim betreffenden Benutzer ist momentan nicht möglich.
Kann mir jemand sagen, wie ich herausfinde, wer diese Änderungen wo vornimmt oder zumindest, wie ich kurzfristig und vorübergehend diese Änderungen unterbinde? Da in dem Event nirgendwo steht, von wo aus die Änderungen vorgenommen werden, ist es mir unmöglich, die Quelle zu finden (wir betreiben mehrere tausend Computer am Standort).
Danke schonmal im Voraus für jeden Hinweis,
J-