Active Directory에서 그룹의 삭제된 멤버십을 검색하는 방법

Active Directory (AD)에서 삭제된 그룹 멤버십을 추적하는 것은 적절한 감사가 없이는 어렵습니다. 사용자가 리소스 접근 권한을 잃는 경우, 명확한 기록 없이 그룹에서 제거되었기 때문인 경우가 많습니다. Active Directory 휴지통은 삭제된 객체만 복원하며, 삭제된 멤버십은 복원하지 않습니다. 삭제된 그룹 멤버십을 찾으려면 그룹의 객체 메타데이터를 검사해야 합니다. 한 가지 방법은 `repadmin /showobjmeta` 명령을 사용하여 특정 그룹에 대한 모든 메타데이터를 추출하는 것입니다. 이 출력은 여전히 존재하는 사용자와 부재로 표시된 사용자를 구분합니다. 또는 PowerShell의 `Get-ADReplicationAttributeMetadata` cmdlet을 사용하여 이 정보를 검색할 수 있습니다. "LastOriginatingDeleteTime" 속성을 살펴보면 삭제된 사용자를 식별할 수 있습니다. 유효한 삭제 날짜는 사용자가 그룹에서 제거되었음을 의미합니다. 12/31/1600과 같은 불가능한 날짜는 사용자가 여전히 멤버임을 나타냅니다.