监控域帐户更改
平时在作活动目录管理的时候,有时候须要知道是哪一个管理员对域帐户作了操做,就须要用到审核日志了。默认状况下是没法记录帐户是谁建立的,修改了什么内容的。特别在多管理员的状况下,就显得特别重要了。
能够经过启用审核策略来实现这个功能。
在域级别新建一条GPO,而后编辑其中的Computer Configuration--Policies--Windows Settings--Security Settings--Local Policies--Security Options--Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.
启用这个策略以采用高级审核策略。若是看不到图,请点我。
而后再编辑Computer Configuration--Policies--Windows Settings--Security Settings--Advanced Audit Policy Configuration--Audit Policies--Account Management--Audit User Account Management
这样就能够了。记得在域控上运行gpupdate /force刷新策略。
在系统的安全日志中就能看到相应的信息了。
如下事件ID供参考。 安全
1.Event ID 4720 用户帐户建立.
2.Event ID 4722 用户帐户启用.
3.Event ID 4740 用户帐户被锁定.
4.Event ID 4725 用户帐户被禁用.
5.Event ID 4726 用户帐户被删除.
6.Event ID 4738 用户帐户更改.
7.Event ID 4781 用户帐户更名. ide