平时在做活动目录管理的时候,有时候需要知道是哪个管理员对域账户做了操作,就需要用到审核日志了。默认情况下是无法记录账户是谁创建的,修改了什么内容的。特别在多管理员的情况下,就显得特别重要了。 可以通过启用审核策略来实现这个功能。 在域级别新建一条GPO,然后编辑其中的Computer Configuration--Policies--Windows Settings--Security Settings--Local Policies--Security Options--Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings. 启用这个策略以采用高级审核策略。如果看不到图,请点我。
然后再编辑Computer Configuration--Policies--Windows Settings--Security Settings--Advanced Audit Policy Configuration--Audit Policies--Account Management--Audit User Account Management
这样就可以了。记得在域控上运行gpupdate /force刷新策略。 在系统的安全日志中就能看到相应的信息了。 以下事件ID供参考。
1.Event ID 4720 用户账户创建. 2.Event ID 4722 用户账户启用. 3.Event ID 4740 用户账户被锁定. 4.Event ID 4725 用户账户被禁用. 5.Event ID 4726 用户账户被删除. 6.Event ID 4738 用户账户更改. 7.Event ID 4781 用户账户改名.
