作为我正在运行的一些域控制器测试的一部分,我想知道是否从我的一个端点使用了“net user /domain”命令。
那么,是否有任何日志(在 DC 上)可以告诉我是否使用了这样的命令?
答案1
从域控制器的角度来看,使用以下方式查看 AD 对象与使用以下方式查看 AD 对象没有区别Active Directory 用户和计算机、net user /domain或任何其他查看目录的工具。如果您确实想审计进程创建和终止,请参阅任务管理器显示正在运行的程序 - 如何查看已结束的程序?
也就是说,您可以审核 AD 对象访问。首先,调整域控制器的审核策略(计算机配置→政策→Windows 设置→安全设定→当地政策→审计政策)来审计成功的目录服务访问。然后转到 ADUC 并启用高级功能(在“查看”下)。在每个包含用户的 OU 上,打开“属性”窗口,转到“安全”选项卡。单击“高级”按钮,然后切换到“审计”选项卡。在那里,添加一个列表内容(或者完全控制如果您愿意的话)适用于每个人的条目。在“审核”选项卡上,条目不授予访问权限;它们只是标记要审核的对象。然后,任何运行枚举这些 OU 的程序的用户最终都会将事件 4662(目录服务访问)添加到 DC 的事件日志中,其中包含所有相关信息。
或者,您可以创建一个单独的“蜜罐”用户帐户,所有访问者都可以访问该帐户(完全控制) 受到审计。由于net user /domain它会查看所发现用户的一些属性,因此会触发审计。
进一步阅读:AD DS 审核分步指南