如何跟踪 Active Directory 域中用户和系统的更改(创建、删除、移动等)?
答案1
Active Directory 审计
我将只与您建立链接,因为坦率地说,这个话题太大了,我无法反复讨论,而且它不会很快消失。阅读一下。它应该能满足您的需求。
如果这太过分,而你只是想看看事情何时发生,请查看 PowerShell 命令获取AD用户,获取 ADOrganizationalUnit,获取 ADComputer,匯出-CSV, 和比较对象。只要发挥一点创造力,您就可以每月左右更新一次 CSV(可以作为电子表格打开)并比较更改。请注意,您无法知道谁移动了什么,只能知道东西移动了。我这样做只是为了了解变化;我并不真正关心谁在操纵 AD。
请注意,您需要为 AD + PowerShell 设置域控制器才能使用 AD* 命令。
答案2
本页介绍如何根据安全事件跟踪和监控 AD 更改。此解决方案使用 Windows 事件转发、由事件 ID 触发的计划任务,并提供一个界面来组织它们并快速找到它们。优点还在于保留历史记录,而且是免费的。这里:https://www.shellandco.net/audit-the-active-directory/