我想知道是否有人可以在不查看事件日志的情况下找出谁在 AD 中更新了用户帐户?
批处理文件或者 vbs 之类的东西应该可以。
答案1
发生修改的域控制器上的安全事件日志是查找所需信息的地方,但不幸的是,默认情况下启用的审核功能不足以为您提供所需信息。在事后情况下,如果您尚未启用审核,您可能运气不佳。为了将来考虑启用审计了解您感兴趣的活动类型。
如果您确实启用了正确的审核,那么您可以考虑将事件日志导出为 XML 或文本格式,并至少在最初对其进行浏览,使用一些简单的操作,例如findstr精确定位需要检查的条目。请注意,您需要检查每个域控制器 (DC) 上的安全事件日志,因为修改可以在任何 DC 上进行,并且只会记录在发生修改的 DC 上。