Пользователи Active Directory - все атрибуты внезапно пустые
Вчера у нас был случай, когда приблизительно 130 из более чем 5000 пользовательских объектов внезапно испортились. Каждый атрибут, который вы можете установить, за исключением sAMAccountName а также cn были стерты вместе с паролем, несмотря на политику, запрещающую менее 8 символов. Измененные метки времени были все секунды друг от друга. Их аккаунты также были отключены. Я подозреваю, из-за блокировки пароля. При повторном включении учетных записей мы получали сообщение о том, что пароль не соответствует требованиям. Итак, нам пришлось сбросить все свои пароли. Учетные записи также были удалены из их почтового ящика Exchange, и нам пришлось их повторно подключать. Даже все их членство в группах были удалены.
Что-то странное, что мы заметили, это то, что все они были отсортированы в алфавитном порядке по cnсреди первых одного-трех пользователей в своем контейнере OU. Кроме того, никаких моделей не было замечено.
Сначала я думал, что это может быть вызвано тем, что кто-то пишет сценарий и облажается. Но тот факт, что пароли были заданы как пустые, заставляет меня поверить, что это невозможно сделать с помощью сценария.
К сожалению, по причинам, в которые я не буду вдаваться, мы не включили одитинг.
Кто-нибудь видел это раньше? Вы знаете, что могло быть причиной?
1 ответ
Похоже, кто-то или что-то удалил учетные записи, а затем восстановил их. (Представьте себе администратора, говорящего "о, дерьмо" - мы все были там.) Это то же самое поведение, которое вы наблюдаете, когда восстанавливаете / реанимируете объекты, которые были удалены, еще в прежние времена до корзины AD, Объект восстанавливается с пустым паролем и в результате отключается, а большинство атрибутов и членство в группах теряются.
Проверьте журналы событий безопасности на своих контроллерах домена, если у вас включен аудит. Если вы этого не сделаете, проверьте repadmin /showobjmeta.