我想知道是否有人可以在不查看事件日誌的情況下找出誰更新了 AD 中的使用者帳戶?
像批次檔或vbs之類的東西應該沒問題。
答案1
發生修改的網域控制站上的安全事件日誌將是查找您正在尋找的資訊的位置,但不幸的是,預設沒有啟用足夠的審核來為您提供您正在尋找的資訊。在這樣的事後場景中,如果您尚未啟用審核,您可能會運氣不好。為了將來考慮啟用稽核了解您感興趣的活動類型。
如果您確實啟用了正確的審核,那麼您可能會考慮將事件日誌匯出為 XML 或文字格式,並透過它進行仔細檢查(至少在最初),使用諸如findstr查明需要檢查的條目之類的簡單操作。請注意,您需要檢查每個網域控制站 (DC) 上的安全性事件日誌,因為修改可能已在任何 DC 上進行,並且只會記錄在發生修改的 DC 上。