найти, кто обновил учетную запись пользователя в Active Directory

Question

Журнал событий безопасности на контроллере домена, где произошло изменение, мог бы быть местом, где вы найдете информацию, которую ищете, но, к сожалению, по умолчанию не включено достаточно аудита, чтобы предоставить вам информацию, которую вы ищете. В таком постфактум сценарии вам, вероятно, не повезло, если у вас еще не включен аудит. На будущее рассмотритевключение аудитадля интересующих вас типов мероприятий.

Если у вас включен правильный аудит, то вы можете рассмотреть возможность экспорта журнала событий в XML или текстовый формат и просмотреть его, по крайней мере, на начальном этапе, с помощью чего-то простого, например, findstrчтобы выделить записи, которые необходимо проверить. Помните, что вам нужно проверить журнал событий безопасности на каждом контроллере домена (DC), поскольку изменение могло быть сделано на любом DC и будет зарегистрировано только на том DC, где произошло изменение.

Answer 1

Журнал событий безопасности на контроллере домена, где произошло изменение, мог бы быть местом, где вы найдете информацию, которую ищете, но, к сожалению, по умолчанию не включено достаточно аудита, чтобы предоставить вам информацию, которую вы ищете. В таком постфактум сценарии вам, вероятно, не повезло, если у вас еще не включен аудит. На будущее рассмотритевключение аудитадля интересующих вас типов мероприятий.

Если у вас включен правильный аудит, то вы можете рассмотреть возможность экспорта журнала событий в XML или текстовый формат и просмотреть его, по крайней мере, на начальном этапе, с помощью чего-то простого, например, findstrчтобы выделить записи, которые необходимо проверить. Помните, что вам нужно проверить журнал событий безопасности на каждом контроллере домена (DC), поскольку изменение могло быть сделано на любом DC и будет зарегистрировано только на том DC, где произошло изменение.

найти, кто обновил учетную запись пользователя в Active Directory

решение1

Связанный контент