如果一台机器从 AD 中删除(但未正确与域分离),是否会创建某种日志文件/条目?
如果有的话它位于哪里以及我们如何访问它?
答案1
日志文件,没有。但是,几乎所有东西都可以审核,这是一个确定要打开什么的情况(尝试帐户管理)。一旦启用,审核事件将出现在 DC 事件日志中。但现实情况是,Windows 审核会创建大量事件,其中大多数事件在事件提供的叙述方面都相当低级。但是,如果您执行一些测试,您将希望能够精确地找到您感兴趣的审核事件。
答案2
从您的评论来看,您好像意外从 AD 中删除了计算机帐户(计算机仍然“加入”到域,只是它的帐户对象消失了)。
如果是这样的话,你的处境还不算太糟——如果你谷歌一下,你会发现关于如何从这个错误中恢复的大量信息。
如果你运行的是 Windows 2008 R2 或更高版本,你甚至可以使用广告回收站,这是从此类错误中恢复的一种相对轻松的方法。
就日志记录而言,正如 Simon Catlin 所说,任何事情都可以被审计。不过,您需要在系统上配置该审计。有很多关于此类事情的 TechNet 文章(这个是一个很好的起点)。
答案3
找到了我们正在寻找的审计方法,以防其他人遇到此问题。这是一个需要在 AD 中激活的设置,以便记录正确的信息。感谢大家的帮助!!!
http://technet.microsoft.com/en-us/library/cc731764(v=ws.10).aspx
答案4
在客户端计算机上,如果您查看 c:\windows\debug\netsetup.log,您将看到加入域/从域中删除计算机的事件。