域用户账号修改删除日志查询
问题
全部回复
-
你好,
请在以下路径设置组策略可以实现你的目的
计算机配置>策略>windows设置>安全设置>高级审核策略设置
更多关于审核目录服务更改,请参考下面的链接:
https://technet.microsoft.com/zh-cn/library/mt431785(v=vs.85).aspx
Best Regards,
FrankPlease remember to mark the replies as answers if they help and unmark them if they provide no help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.- 已建议为答案 frank_songMicrosoft contingent staff, Moderator 2018年1月11日 2:42
-
Hi,
建议再开启以下审计策略:
Computer Configuration\Windows Settings\Security Settings\Advanced Audit Configuration\Account Management
Configure: Audit User Account Management Success and Failure
高级审核策略开启后生成的相应日志都是安全日志,会在Event Viewer的Security Log那个类目下面。
相应的日至条目为:
事件 ID 事件消息
5136 目录服务对象已修改。
5137 目录服务对象已创建。
5138 目录服务对象已取消删除。
5139 目录服务对象已移动。
5141 目录服务对象已删除。
如果Security log中没有产生相应的日志,请检查一下是否也同时配置了legacy audit policy。如果同时配置了Legacy audit policy和advanced audit policy,并且这些策略中有冲突的设计,那么就会产生一些未知的问题。建议开启以下策略保证只应用advanced audit policy而忽略legacy audit policy。
GPO_name\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
开启该设置: Force audit policy subcategory settings (Windows Vista or later)
相关文档供您参考:
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings
https://technet.microsoft.com/en-us/library/dd772710%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396
Getting the Effective Audit Policy in Windows 7 and 2008 R2
http://blogs.technet.com/b/askds/archive/2011/03/11/getting-the-effective-audit-policy-in-windows-7-and-2008-r2.aspxAudit User Account Management
https://technet.microsoft.com/en-us/library/dn319091(v=ws.11).aspx Best Regards,
Frank
Please remember to mark the replies as an answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com- 已编辑 frank_songMicrosoft contingent staff, Moderator 2018年1月23日 7:50
- 已建议为答案 frank_songMicrosoft contingent staff, Moderator 2018年1月23日 7:51
