Remove From My Forums

一些AD域的问题

问题
0

登录进行投票

请教几个问题

1、为什么禁用账号的whenchanged也发生了改变?

2、是因为我的AD与OA系统有发生过对接吗?

3、能否详细说明一下让whenchanged发生变化的操作

4、设置了驱动重定向，但有时登录PC后发现网络位置不显示共享文件夹

2022年11月25日 0:47

回复

|

引用

答案

0

登录进行投票
尊敬的客户，您好！

问题1：哪些ID是可能影响到whenchanged的呢？
回答1：对于这个问题，没有直接的答案，对于域用户的属性whenchanged指的是账号上一次被更改的时间，那么什么操作会更改账号呢，也就是我之前的回复（根据我在测试环境中的测试大概有如下几种操作或者情况会使得whenchanged发生变化）。
3、能否详细说明一下让whenchanged发生变化的操作
回答3：我在我的测试环境中测试了一下，以下的一些操作（也可能不仅包括下面的操作，我还没有发现）whenchanged会更改。

锁定账号
解锁账号
禁用账号
启用账号
重置账号的密码
把一个账号在域里移动，例如从一个OU移动到另一个OU。
更改账号的名字（显示名，姓，名字，全名等，跟名字相关的信息）

那么您可以根据上面的操作对一个域用户账号设置审核策略（建议您在测试环境中，测试一下），然后看执行这些操作的时候（或者这些操作发生的时候）是否产生了对应的ID，如果产生了对应的ID，那么这个ID就是您要找的ID。

第一：
在默认的域控制器策略这个组策略对象上（Default Domain Controller Policy）编辑以下的策略：

传统审核策略
Computer Configuration\Windows settings\security settings\local policies\audit policy
Audit Account Management -》 Success

或者高级审核策略：
Computer Configuration\Windows settings\security settings\Advanced Audit Policy Configuration
Account Management:
Audit User Account Management –》 Success

第二：在账号上设置审核权限如下：

例如：我知道的一个就是用户账号锁了以后，会产生ID 4740.
问题2：

1、是开机的时候看不到
2、过一会也看不到，需要重启才看得到
3~4、基本是一些公用电脑上出现的概率较多
5、不同用户可能有不同结果，A登录可能有显示而B登录无显示
回答2：当下面这些问题发生的时候，用户可以访问共享文件夹吗？不能的话，有什么报错吗？

此致,
Daisy Zhou

如果以上回复对您有所帮助，建议您将其标记为答复。如果您对我们的论坛支持有任何的建议，可以通过此邮箱联系我们：tnmff@microsoft.com.
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已标记为答案 hins998 2022年12月8日 5:50
2022年12月1日 9:47

回复

|

引用

版主

全部回复

0

登录进行投票

尊敬的客户，您好！

感谢您在我们的TechNet论坛发帖。

以下是对您问题的回答，供您参考：

1、为什么禁用账号的whenchanged也发生了改变?
回答1：因为whenchanged指的是账号上一次被更改的时间，禁用账号也是对账号的更改。

2、是因为我的AD与OA系统有发生过对接吗?
回答2：不是，因为我的测试环境中没有OA系统。见回答1。

3、能否详细说明一下让whenchanged发生变化的操作
回答3：我在我的测试环境中测试了一下，以下的一些操作（也可能不仅包括下面的操作，我还没有发现）whenchanged会更改。

锁定账号
解锁账号
禁用账号
启用账号
重置账号的密码
把一个账号在域里移动，例如从一个OU移动到另一个OU。

4、设置了驱动重定向，但有时登录PC后发现网络位置不显示共享文件夹
回答4：请问您是怎么重定向驱动？

希望上述的回复对您有帮助。如有任何问题，欢迎您随时咨询我们。

此致,
Daisy Zhou

如果以上回复对您有所帮助，建议您将其标记为答复。如果您对我们的论坛支持有任何的建议，可以通过此邮箱联系我们：tnmff@microsoft.com.
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2022年11月28日 3:53

回复

|

引用

版主
0

登录进行投票
1~2、因为OA设置了定时同步（主要是人员信息和OU架构等）就想可能会同步后发生复制然后导致whenchanged时间更新

因为之前有出现过某月6号的凌晨3点，某些1号已禁用掉的whenchanged发生变化

4、就是先创建一个共享文件夹，然后再使用组策略的驱动器映射

新问题：

5、域用户登录域内PC无论什么情况都不会改变whenchanged的吧？
- 已编辑 hins998 2022年11月29日 2:11
2022年11月29日 1:16

回复

|

引用
0

登录进行投票

尊敬的客户，您好！

感谢您的回复。

根据这句话“但有时登录PC后发现网络位置不显示共享文件夹”，这个问题时有时无吗？还是有规律的出现，因为这个是用户策略，例如，只出现在某一个用户？或者只出现在某个时间？

初步判断，可能是网络问题引起的。

新问题：

5、域用户登录域内PC无论什么情况都不会改变whenchanged的吧？
回答：会的呢，就是账号锁定的话，whenchanged就更改了。当用户在指定的时间内输错了指定次数的密码，那么账号就锁定了，这个whenchanged就变了。

希望上述的回复对您有帮助。如有任何问题，欢迎您随时咨询我们。

此致,
Daisy Zhou

如果以上回复对您有所帮助，建议您将其标记为答复。如果您对我们的论坛支持有任何的建议，可以通过此邮箱联系我们：tnmff@microsoft.com.
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2022年11月29日 9:07

回复

|

引用

版主
0

登录进行投票
看不见共享文件夹只是时不时出现的问题

5、我的意思是正常登录的状态下应该是不会影响whenchanged的对吧？还有就是ID为4768，4769，4624，4627,4932,4933这几个事件会影响到whenchanged吗？

期待您的答复，谢谢。
- 已编辑 hins998 2022年11月30日 6:20
2022年11月30日 6:07

回复

|

引用
0

登录进行投票
尊敬的客户，您好！

如果用户都是正常成功登录的状态下，whenchanged应该不会变。

还有就是ID为4768，4769，4624，4627,4932,4933这几个事件会影响到whenchanged吗？
我认为这些事件ID不会影响whenchanged。

如需了解更多有关这些ID事件，请参考一下链接。
4768(S, F): A Kerberos authentication ticket (TGT) was requested.
4768(S, F) A Kerberos authentication ticket (TGT) was requested. (Windows 10) | Microsoft Learn

4769(S, F): A Kerberos service ticket was requested.
4769(S, F) A Kerberos service ticket was requested. (Windows 10) | Microsoft Learn

4624(S): An account was successfully logged on.
4624(S) An account was successfully logged on. (Windows 10) | Microsoft Learn

4627(S): Group membership information.
4627(S) Group membership information. (Windows 10) | Microsoft Learn

4932(S): Synchronization of a replica of an Active Directory naming context has begun.
4932(S) Synchronization of a replica of an Active Directory naming context has begun. (Windows 10) | Microsoft Learn

4933(S, F): Synchronization of a replica of an Active Directory naming context has ended.
4933(S, F) Synchronization of a replica of an Active Directory naming context has ended. (Windows 10) | Microsoft Learn

对于另一个问题“看不见共享文件夹只是时不时出现的问题”？
1.这个驱动映射是用户策略，某一个用户在使用过程中突然看不到映射的盘符了？
2.还是只在特定的时刻看不到映射的盘符（例如刚开机登录账号的时候看不到，但是过一会就看到了）？
3.请问是某一个用户在他的电脑上会出现这个问题？
4.还是这个用户在登录这台电脑看不到，换台电脑登录还是会出现这个问题？
5.还是不同的用户登录同一台电脑出现这个问题（例如，用户A登录PC1看不到，换一个用户B登录PC1还是看不到）？
6.如果所有用户同时出现这样的问题，也可能文件服务器后台的问题。

此致,
Daisy Zhou

如果以上回复对您有所帮助，建议您将其标记为答复。如果您对我们的论坛支持有任何的建议，可以通过此邮箱联系我们：tnmff@microsoft.com.

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已编辑 Daisy ZhouMicrosoft contingent staff, Moderator 2022年11月30日 8:33
2022年11月30日 8:32

回复

|

引用

版主
0

登录进行投票

那请问哪些ID是可能影响到whenchanged的呢，因为我搜索whenchanged那个时间点只有上述ID的事件以及一些防火墙出入站的事件

另一个问题是

1、是开机的时候看不到

2、过一会也看不到，需要重启才看得到

3~4、基本是一些公用电脑上出现的概率较多

5、不同用户可能有不同结果，A登录可能有显示而B登录无显示

期待您的回复，谢谢

2022年12月1日 1:35

回复

|

引用
0

登录进行投票
尊敬的客户，您好！

问题1：哪些ID是可能影响到whenchanged的呢？
回答1：对于这个问题，没有直接的答案，对于域用户的属性whenchanged指的是账号上一次被更改的时间，那么什么操作会更改账号呢，也就是我之前的回复（根据我在测试环境中的测试大概有如下几种操作或者情况会使得whenchanged发生变化）。
3、能否详细说明一下让whenchanged发生变化的操作
回答3：我在我的测试环境中测试了一下，以下的一些操作（也可能不仅包括下面的操作，我还没有发现）whenchanged会更改。

锁定账号
解锁账号
禁用账号
启用账号
重置账号的密码
把一个账号在域里移动，例如从一个OU移动到另一个OU。
更改账号的名字（显示名，姓，名字，全名等，跟名字相关的信息）

那么您可以根据上面的操作对一个域用户账号设置审核策略（建议您在测试环境中，测试一下），然后看执行这些操作的时候（或者这些操作发生的时候）是否产生了对应的ID，如果产生了对应的ID，那么这个ID就是您要找的ID。

第一：
在默认的域控制器策略这个组策略对象上（Default Domain Controller Policy）编辑以下的策略：

传统审核策略
Computer Configuration\Windows settings\security settings\local policies\audit policy
Audit Account Management -》 Success

或者高级审核策略：
Computer Configuration\Windows settings\security settings\Advanced Audit Policy Configuration
Account Management:
Audit User Account Management –》 Success

第二：在账号上设置审核权限如下：

例如：我知道的一个就是用户账号锁了以后，会产生ID 4740.
问题2：

1、是开机的时候看不到
2、过一会也看不到，需要重启才看得到
3~4、基本是一些公用电脑上出现的概率较多
5、不同用户可能有不同结果，A登录可能有显示而B登录无显示
回答2：当下面这些问题发生的时候，用户可以访问共享文件夹吗？不能的话，有什么报错吗？

此致,
Daisy Zhou

如果以上回复对您有所帮助，建议您将其标记为答复。如果您对我们的论坛支持有任何的建议，可以通过此邮箱联系我们：tnmff@microsoft.com.
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已标记为答案 hins998 2022年12月8日 5:50
2022年12月1日 9:47

回复

|

引用

版主
0

登录进行投票
问题1清楚了，另外能帮我找下用户移动OU需要开的组策略以及用户移动OU后会出现的事件ID可以吗？感谢。

问题2：

只是此电脑的网络位置不显示而已，不影响使用.

\\IP还是可以进到共享文件夹里面的
- 已编辑 hins998 2022年12月2日 6:05
2022年12月2日 2:21

回复

|

引用
0

登录进行投票
尊敬的客户，您好！

另外能帮我找下用户移动OU需要开的组策略以及用户移动OU后会出现的事件ID可以吗？
组策略就是上面我提到的哪个，这个我测试了一下，发现不会生成任何事件，但是我把用户从一个OU移动到另一个OU,确实whenchanged变了。

问题2：只是此电脑的网络位置不显示而已，不影响使用.
\\IP还是可以进到共享文件夹里面的
请问那么\\server\sharedfolder这样的方式可以访问吗？

备注，以免混乱，为了更好地，集中地排查或者解决问题，建议您以后一个帖子一个问题，我们集中在一个帖子里关注于一个问题。如果您有多个问题，就发布多个帖子好了，谢谢。

此致,
Daisy Zhou

如果以上回复对您有所帮助，建议您将其标记为答复。如果您对我们的论坛支持有任何的建议，可以通过此邮箱联系我们：tnmff@microsoft.com.

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已编辑 Daisy ZhouMicrosoft contingent staff, Moderator 2022年12月2日 9:16
2022年12月2日 9:14

回复

|

引用

版主
0

登录进行投票

好的好的之后会另外开帖的

问题1：

那如果没事件生成，我们的审计工作就有点难办了。所以您看看有什么方法能查看到移动OU的事件

问题2：

可以进去

2022年12月5日 0:32

回复

|

引用
0

登录进行投票

尊敬的客户，您好！

从下面的链接中看，确实这个在域里移动用户账号生成审核事件ID。
Audit User Account Management (Windows 10) | Microsoft Learn

并且我在测试环境中测试也没有的。

此致,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2022年12月5日 7:24

回复

|

引用

版主
0

登录进行投票

是的，我在自己的环境上测试也没找到有关移动OU的事件，您看看应该怎么样才能查看到这种事件吧，谢谢

2022年12月6日 0:52

回复

|

引用

产品

Resources

Solutions

更新

试用版

相关站点

培训

认证

其他资源

产品支持

其他支持

不是 IT 专业人员？

积极答复者

一些AD域的问题

问题

答案

全部回复