none
域用户账号修改删除日志查询 RRS feed

  • 问题

  • 大神

    域控服务器上怎么查看某个域账号被删除活修改的日志,比如谁删除,什么时候删除等信息

    感谢

    2018年1月10日 7:20

全部回复

  • 你好,

    请在以下路径设置组策略可以实现你的目的

    计算机配置>策略>windows设置>安全设置>高级审核策略设置

    更多关于审核目录服务更改,请参考下面的链接:

    https://technet.microsoft.com/zh-cn/library/mt431785(v=vs.85).aspx

    Best Regards,
    Frank


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年1月11日 2:42
    版主
  • 大神

       这个策略是挂在Domain Controllers这个OU 就可以,还是需要挂在全局域下呢?

    感谢

    2018年1月11日 3:05
  • 你好,

    只需要在Domain Controllers下即可。

    Best Regards,
    Frank


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年1月11日 6:05
    版主
  • 你好,

    请问回复的信息对你有用么?如果你需要进一步的帮助,请告诉我们。

    Best Regards,

    Frank


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年1月12日 8:14
    版主
  • 你好,

    请问你的问题解决了吗?
    如果您使用我们的方案解决问题,请“将其标记为答案”,以帮助其他社区成员快速找到有用的回复。
    如果您使用自己的方案解决问题,请在此处分享您的经验和解决方案。 对于有类似问题的其他社区成员也是非常有益的。
    如果没有,请回复并告诉我们目前的情况,以提供进一步的帮助。

    Best Regards,

    Frank

    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年1月15日 14:15
    版主
  • 我开启了这个策略,但是好像没有查询到这类LOG,请问是在哪个事件查看下,查询的

    谢谢

    2018年1月22日 4:24
  • Hi,

    建议再开启以下审计策略:

    Computer Configuration\Windows Settings\Security Settings\Advanced Audit Configuration\Account Management

    Configure: Audit User Account Management Success and Failure

    高级审核策略开启后生成的相应日志都是安全日志,会在Event Viewer的Security Log那个类目下面。


    相应的日至条目为:
    事件 ID 事件消息
    5136  目录服务对象已修改。
    5137  目录服务对象已创建。
    5138  目录服务对象已取消删除。
    5139  目录服务对象已移动。
    5141  目录服务对象已删除。

    如果Security log中没有产生相应的日志,请检查一下是否也同时配置了legacy audit policy。如果同时配置了Legacy audit policy和advanced audit policy,并且这些策略中有冲突的设计,那么就会产生一些未知的问题。建议开启以下策略保证只应用advanced audit policy而忽略legacy audit policy。

    GPO_name\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
    开启该设置: Force audit policy subcategory settings (Windows Vista or later) 




    相关文档供您参考:
    Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings
    https://technet.microsoft.com/en-us/library/dd772710%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396 
    Getting the Effective Audit Policy in Windows 7 and 2008 R2
    http://blogs.technet.com/b/askds/archive/2011/03/11/getting-the-effective-audit-policy-in-windows-7-and-2008-r2.aspx 

    Audit User Account Management

    https://technet.microsoft.com/en-us/library/dn319091(v=ws.11).aspx

    Best Regards,

    Frank


      

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com


    2018年1月23日 7:50
    版主
  • 你好,

    请问回复的信息对你是否有用。如果你需要进一步的帮助,请告诉我们。

    Best Regards,

    Frank

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年1月25日 10:19
    版主
  • 你好,

    请问你的问题解决了吗?
    如果您使用我们的方案解决问题,请“将其标记为答案”,以帮助其他社区成员快速找到有用的回复。
    如果您使用自己的方案解决问题,请在此处分享您的经验和解决方案。 对于有类似问题的其他社区成员也是非常有益的。
    如果没有,请回复并告诉我们目前的情况,以提供进一步的帮助。

    Best Regards,

    Frank

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年1月26日 9:34
    版主