Ich frage mich, ob es jemanden gibt, mit dem ich herausfinden kann, wer ein Benutzerkonto in AD aktualisiert hat, ohne die Ereignisprotokolle durchzugehen?
So etwas wie eine Batchdatei oder VBS sollte ok sein.
Antwort1
Das Sicherheitsereignisprotokoll auf dem Domänencontroller, auf dem die Änderung vorgenommen wurde, wäre der Ort, an dem Sie die gesuchten Informationen finden könnten, aber leider ist dort standardmäßig nicht genügend Überwachung aktiviert, um Ihnen die gesuchten Informationen zu liefern. In einem nachträglichen Szenario wie diesem haben Sie wahrscheinlich Pech gehabt, wenn Sie die Überwachung nicht bereits aktiviert haben. Überlegen Sie sich für die Zukunft Folgendes:Aktivieren der Überwachungfür die Arten von Veranstaltungen, die Sie interessieren.
Wenn Sie die richtige Überwachung aktiviert haben, können Sie das Ereignisprotokoll in ein XML- oder Textformat exportieren und es zumindest zunächst mit etwas Einfachem durchsuchen, findstrum Einträge zu ermitteln, die untersucht werden müssen. Beachten Sie, dass Sie das Sicherheitsereignisprotokoll auf jedem Domänencontroller (DC) untersuchen müssen, da die Änderung auf jedem DC vorgenommen worden sein könnte und nur auf dem DC protokolliert würde, auf dem die Änderung aufgetreten ist.