Как искать удаленные членства группы в Active Directory

Отслеживать удаленное членство в группах в Active Directory (AD) сложно без надлежащего аудита. Когда пользователи теряют доступ к ресурсам, это часто происходит из-за того, что они были удалены из группы без четкой записи. Корзина Active Directory восстанавливает только удаленные объекты, а не удаленное членство. Чтобы найти удаленное членство в группах, необходимо изучить метаданные объекта группы. Один из методов включает использование команды `repadmin /showobjmeta` для извлечения всех метаданных для определенной группы. Этот вывод позволит различать пользователей, которые все еще присутствуют, и тех, кто помечен как отсутствующие. Альтернативно, командлет PowerShell `Get-ADReplicationAttributeMetadata` может извлечь эту информацию. Изучив атрибут "LastOriginatingDeleteTime", можно идентифицировать удаленных пользователей. Действительная дата удаления означает, что пользователь был удален из группы. Невозможная дата, например 12/31/1600, указывает на то, что пользователь все еще является членом.