Me pregunto si hay alguien a quien pueda averiguar quién actualizó una cuenta de usuario en AD sin revisar los registros de eventos.
Algo como un archivo por lotes o vbs debería estar bien.
Respuesta1
El registro de eventos de seguridad en el controlador de dominio donde ocurrió la modificación sería el lugar para encontrar la información que está buscando pero, desafortunadamente, no hay suficiente auditoría habilitada de manera predeterminada para brindarle la información que está buscando. En un escenario posterior como este, probablemente no tenga suerte si aún no tenía habilitada la auditoría. Para el futuro considerehabilitando la auditoríapara los tipos de eventos que te interesan.
Si tiene habilitada la auditoría adecuada, entonces podría considerar exportar el registro de eventos a un formato XML o de texto y revisarlo, al menos inicialmente, con algo simple como findstridentificar las entradas que deben examinarse. Tenga en cuenta que debe examinar el registro de eventos de seguridad en cada controlador de dominio (DC), ya que la modificación podría haberse realizado en cualquier DC y solo se registraría en el DC donde se produjo la modificación.