由于我激活了目录服务日志记录,所以我想找到有关将计算机添加到域以及从域中删除/断开连接的日志。
我一直在查看我们的“目录服务”日志,但没有找到任何显示有关此信息的日志。
当查找最近添加的计算机名称时,“查找”功能也无法找到任何日志。
有没有更智能的方法来找到这些日志?
答案1
我将列出您关心的事件 ID:
- 事件 ID 4741-已创建计算机帐户。
- 事件 ID 4743-计算机帐户已被删除。
为了在事件查看器中看到这些事件 ID(直接登录到域控制器或远程登录),您需要创建一个组策略对象您的域控制器:
Computer Configuration
-Policies
-Security Settings
-Advanced Audit Policy Configuration
-Audit Policies
-Account Management
使能够审计计算机帐户管理至少成功。 我有成功和失败能够同时跟踪两者。
此外,这里还有一份有关高级审计策略的 TechNet 分步指南。 https://technet.microsoft.com/en-us/library/dd408940(v=ws.10).aspx
