监控域帐户更改

平时在作活动目录管理的时候，有时候须要知道是哪一个管理员对域帐户作了操做，就须要用到审核日志了。默认状况下是没法记录帐户是谁建立的，修改了什么内容的。特别在多管理员的状况下，就显得特别重要了。
能够经过启用审核策略来实现这个功能。
在域级别新建一条GPO，而后编辑其中的Computer Configuration--Policies--Windows Settings--Security Settings--Local Policies--Security Options--Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.
启用这个策略以采用高级审核策略。若是看不到图，请点我。

而后再编辑Computer Configuration--Policies--Windows Settings--Security Settings--Advanced Audit Policy Configuration--Audit Policies--Account Management--Audit User Account Management

这样就能够了。记得在域控上运行gpupdate /force刷新策略。
在系统的安全日志中就能看到相应的信息了。
如下事件ID供参考。

1.Event ID 4720 用户帐户建立.
2.Event ID 4722 用户帐户启用.
3.Event ID 4740 用户帐户被锁定.
4.Event ID 4725 用户帐户被禁用.
5.Event ID 4726 用户帐户被删除.
6.Event ID 4738 用户帐户更改.
7.Event ID 4781 用户帐户更名.