none
exchange2010,server2008r2,删除邮箱和ad账户日志? RRS feed

  • 问题

  • 1/ 是否有邮箱和ad账户的禁用或删除日志?

    2/多台DC和exchange server,是否有统一的ad账户和邮箱删除日志?还是需要到每台dc和exchange server上去查看?

    2018年11月27日 1:13

答案

  • 您好,

    我们在做禁用邮箱和禁用AD账户的操作时,实际上就是在后台运行Disable-Mailbox和Disable-ADAccount这两条命令。在Exchange服务器中,管理员运行命令的操作记录在管理员审核日志中。默认情况下,管理员审核日志是开启的,并针对所有命令,日志记录保存的时间为90天。

    我们可以通过如下命令查看相关的日志记录:

    Search-AdminAuditLog -Cmdlets Disable-Mailbox
    Search-AdminAuditLog -Cmdlets Disable-ADAccount


    在返回结果中,重点关注ObjectModified,Caller,RunDate这几个参数,这些参数分别记录了这条命令修改的用户,运行命令的管理员,以及运行命令的UTC时间。例如,管理员Administrator运行了“Disable-Mailbox User2”这条命令,搜索审核日志时,发现ObjectModified显示为user2, Caller为Administrator。

    另外,管理员审核日志返回的记录和管理员运行命令的位置无关,比如我们在Server1上运行了一条命令,在Server2上也能通过搜索管理员审核日志查看到这条记录。

    有关管理员审核日志的更多细节,您可以参考如下文章:

    Administrator audit logging in Exchange Server

    此致,

    敬礼

    Manu Meng


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.

    2018年11月27日 8:40
    版主