平时在做活动目录管理的时候,有时候需要知道是哪个管理员对域账户做了操作,就需要用到审核日志了。默认情况下是无法记录账户是谁创建的,修改了什么内容的。特别在多管理员的情况下,就显得特别重要了。
可以通过启用审核策略来实现这个功能。
在域级别新建一条GPO,然后编辑其中的Computer Configuration--Policies--Windows Settings--Security Settings--Local Policies--Security Options--Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.
启用这个策略以采用高级审核策略。如果看不到图,请点我。
然后再编辑Computer Configuration--Policies--Windows Settings--Security Settings--Advanced Audit Policy Configuration--Audit Policies--Account Management--Audit User Account Management
这样就可以了。记得在域控上运行gpupdate /force刷新策略。
在系统的安全日志中就能看到相应的信息了。
以下事件ID供参考。
1.Event ID 4720 用户账户创建.
2.Event ID 4722 用户账户启用.
3.Event ID 4740 用户账户被锁定.
4.Event ID 4725 用户账户被禁用.
5.Event ID 4726 用户账户被删除.
6.Event ID 4738 用户账户更改.
7.Event ID 4781 用户账户改名.