이벤트 로그를 통하지 않고 AD에서 사용자 계정을 업데이트한 사람이 누구인지 알 수 있는 사람이 있는지 궁금합니다.
배치 파일이나 VBS 같은 것이 있으면 괜찮습니다.
답변1
수정이 발생한 도메인 컨트롤러의 보안 이벤트 로그는 원하는 정보를 찾을 수 있는 장소이지만 안타깝게도 기본적으로 원하는 정보를 제공할 만큼 충분한 감사가 활성화되어 있지 않습니다. 이와 같은 사후 시나리오에서 아직 감사를 활성화하지 않았다면 아마도 운이 좋지 않을 것입니다. 미래를 위해 고려감사 활성화관심 있는 이벤트 유형에 대해 알아보세요.
올바른 감사를 활성화한 경우 이벤트 로그를 XML 또는 텍스트 형식으로 내보내고 적어도 처음에는 findstr검사해야 할 항목을 찾아내는 것과 같은 간단한 방법으로 이를 샅샅이 뒤지는 것을 고려할 수 있습니다. 모든 DC에서 수정이 이루어질 수 있고 수정이 발생한 DC에만 기록되므로 각 DC(도메인 컨트롤러)에서 보안 이벤트 로그를 검사해야 합니다.