很抱歉,我问了一个关于非常古老的操作系统的问题:
与我合作的客户拥有 Windows Server 2008 R2 和 Windows Server 2012 域控制器。但是,它们仍在 Windows Server 2003 域和林功能级别下运行(是的,这很糟糕,已经过时,不受支持,并且正在努力说服他们提升它)。
他们正在尝试检索有关 Active Directory 用户帐户更改的日志。我知道从 Windows Server 2008 开始对事件日志进行了各种增强,以记录有关修改了哪些属性等的更多信息,并且我很确定需要提升架构以便事件日志能够记录这些其他元素和属性。
与我合作的客户正在寻找与此相关的文档,但我很难找到 Microsoft 关于事件日志增强功能的官方文档。
有人能确认情况确实如此吗,或者告诉我微软在何处记录了这些变化?
答案1
要检测 Active Directory 中的用户帐户更改,您需要在默认域控制器安全策略 GPO 上启用审核策略。启用“审核用户帐户管理”审核策略。
然后,您可以查找用户帐户创建、用户帐户删除或用户帐户更改等事件。
在这里,我找到了一篇信息丰富的文章,它可以让您逐步记录在 Active Directory 中所做的更改:https://community.spiceworks.com/how_to/129229-how-to-record-changes-made-in-active-directory
希望这可以帮助!