我必须知道谁(用户 ID 或登录名)更改了 Active Directory 中指定 OU 的指定 GPO。假设我们的审核设置包括此内容,那么要查找的正确事件 ID 是什么?
答案1
在 Windows Server 2008 上,事件 ID 为 5136(目录服务变更)。另请参阅事件 ID 5137(创建)、5138(取消删除)、5130(移动)。事件 ID 4662 包含旧式审计事件(见下文)。
在 Windows 2000 Server 和 Windows Server 2003 上:
策略“审核目录服务访问”是 Active Directory 中唯一可用的审核控制。此控制生成的事件未显示任何修改的旧值和新值。此设置在安全日志中生成了 ID 号为 566 的审核事件。在 Windows Server 2008 中,审核策略子类别“目录服务访问”仍会生成相同的事件,但事件 ID 号更改为 4662。
答案2
我们可以看到这篇文章http://www.morgantechspace.com/2013/11/Event-ID-5136-AD-Object-Change-Audit-Event.html了解事件 ID 5136 ..它解释了如何映射旧值和新值事件