Déterminer quels objets

/>

La figure 5 montre un exemple d’une telle entrée de journal. A noter que, pour que le système puisse journaliser les événements requis, l’audit de gestion de comptes doit être validé. Comme autre méthode, vous pouvez journaliser l’activité SDPROP (security descriptor propagation). Il n’y a pas de relation entre la tâche AdminSDHolder et SDPROP, mais chaque fois qu’une mise à jour de SD (Security Descriptor) a lieu, SDPROP tente de propager les changements vers les objets enfants. Autrement dit, les événements informatifs de SDPROP donnent des indications sur les objets qui ont été touchés par la tâche AdminSDHolder.

Mais sachez que SDPROP a aussi la possibilité de journaliser une autre activité sans rapport avec ceci. SDPROP ne journalise pas les événements informatifs dans le journal d’événements DS (Directory Service) sauf si vous élevez le niveau de journalisation de diagnostics au-dessus de la valeur par défaut. Pour valider les événements informatifs de SDPROP, à nouveau sur le DC émulateur PDC, définissez la valeur de 9 Internal Processing sur la sous-clé de registre suivante à 5 (décimale) :

HKEY_ LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics.

Après avoir validé le niveau de journalisation plus élevé, recherchez les Event ID 1257 et 1258 dans le journal d’événements DS avec NTDS SDPROP comme source. Les événements contiendront le nom des objets mis à jour par SDPROP. Comme l’élévation du niveau de journalisation génère un grand nombre d’événements, ne le faites que pour dépanner un problème bien particulier, puis abaissez le niveau de journalisation une fois le dépannage effectué.

Une troisième méthode consiste à émettre une requête LDAP pour tous les objets présents dans le domaine qui ont une valeur d’attribut adminCount de 1. Cependant, cette méthode n’est pas fiable pour les raisons que j’ai déjà indiquées : à savoir le fait que la tâche AdminSDHolder ne supprime pas la valeur d’attribut quand l’objet n’est plus membre de l’un des groupes protégés.

Dans l’exemple suivant, j’utilise ADFind (un excellent outil ligne de commande freeware en provenance de joeware.net, http://www.joeware.net) pour exécuter la requête LDAP. La requête recherche la partition de répertoire par défaut (la partition de domaine) et renvoie tous les objets utilisateurs qui ont une valeur d’attribut adminCount de 1.

(La requête peut s’étendre sur plusieurs lignes pour des raisons de place, mais vous devez la taper sur une seule ligne.)
adfind -default -f "(&(objectClass=user (objectCategory=Person)(adminCount=))"