我已启用审计帐户管理来监控 Active Directory 中用户帐户的删除情况。我可以在域控制器的安全日志中查看这些事件吗?我们有两个域控制器 - 事件是否会出现在两个日志中,还是我需要检查两台机器?我应该寻找什么类别?
我之所以问这个问题,是因为我经常遇到 SharePoint 列表停止接收电子邮件的问题。这是因为某些用户/进程/小精灵时不时地会删除 Active Directory 中的电子邮件别名帐户。这种情况刚刚又发生了,我希望看到日志中记录的事件,以便我可以识别用户/进程/小精灵。
编辑
这是联系人,不是用户。我不知道这是否有区别...
答案1
安全事件会显示在用于处理请求的 DC 的日志中,因此无论使用哪个 DC 来验证帐户权限,您都需要检查这两个 DC。
您可以使用免费事件梳理工具,包含在服务器 2003 资源工具包,这可以从多台计算机收集特定事件并将它们显示在一个地方。
答案2
您需要检查两者。您正在寻找“帐户管理”类别中的事件 ID 630。以下是有关事件记录格式的参考,以防您通过脚本自动解析此事件记录:
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=630