我想知道可以监控哪个事件 ID,以便检查现有用户或新用户是否成为管理员。
我搜索 4720 和 4738 事件 ID,但事件中显示的信息并未表明用户是否是管理员。
我该如何检查?
更新
我已经看到 SID(安全标识符)可用于确定用户是否具有某些管理员权限。例如,如果用户的 SID 以 512 结尾(S-1-5-21-1004336348-1177238915-682003330-512),则该用户是域管理员。如果以 500 结尾,则该用户是本地管理员。
因此,一种解决方法可能是在 AD 事件中获取 SID 并检查该 SID。4720 和 4738 事件 ID 似乎显示了 SID,但不是所需的格式(安全 ID:ACME-FR\administrator)。AD 尝试将该数字 SID 解析为帐户名称...
更新2 尽管 AD 尝试解析 SID,但它似乎是一个名为 RID 的参数,代表用户的组。所以,它应该可以解决这个问题。