当您拥有一个 Active Directory(AD)域环境时,您需要确保您能够追踪每个域用户账户的创建、删除和修改活动。这是因为在任何给定的时间,您可能需要查看这些活动的详细信息,以了解谁进行了什么操作,以及何时发生的操作。本篇文章将向您介绍如何查询 AD 域账户的创建、删除和修改日志。
在开始之前,请确保您有足够的权限来查看 AD 日志。要查看 AD 日志,您需要使用具有适当权限的管理员帐户登录到 AD 管理工具。
1. 查询AD账户创建日志
要查询 AD 账户创建日志,您可以使用以下步骤:
1. 打开“事件查看器”工具。
2. 在“事件查看器”窗口中,选择“Windows 日志” > “安全”。
3. 在右侧窗格中,单击“过滤当前日志”。
4. 在“事件来源”下拉菜单中,选择“Microsoft-Windows-Security-Auditing”。
5. 在“事件 ID”文本框中,输入“4720”(这是 AD 账户创建事件的 ID)。
6. 单击“确定”。
此时,您应该能够看到与 AD 账户创建相关的所有事件。这些事件将包含有关账户名称、创建日期和时间、创建者等信息。
2. 查询AD账户删除日志
要查询 AD 账户删除日志,您可以使用以下步骤:
1. 打开“事件查看器”工具。
2. 在“事件查看器”窗口中,选择“Windows 日志” > “安全”。
3. 在右侧窗格中,单击“过滤当前日志”。
4. 在“事件来源”下拉菜单中,选择“Microsoft-Windows-Security-Auditing”。
5. 在“事件 ID”文本框中,输入“4726”(这是 AD 账户删除事件的 ID)。
6. 单击“确定”。
此时,您应该能够看到与 AD 账户删除相关的所有事件。这些事件将包含有关账户名称、删除日期和时间、删除者等信息。
3. 查询AD账户修改日志
要查询 AD 账户修改日志,您可以使用以下步骤:
1. 打开“事件查看器”工具。
2. 在“事件查看器”窗口中,选择“Windows 日志” > “安全”。
3. 在右侧窗格中,单击“过滤当前日志”。
4. 在“事件来源”下拉菜单中,选择“Microsoft-Windows-Security-Auditing”。
5. 在“事件 ID”文本框中,输入“4724”(这是 AD 账户修改事件的 ID)。
6. 单击“确定”。
此时,您应该能够看到与 AD 账户修改的相关的所有事件。
4. 查询AD账户禁用日志
要查询 AD 账户禁用日志,您可以使用以下步骤:
1. 打开“事件查看器”工具。
2. 在“事件查看器”窗口中,选择“Windows 日志” > “安全”。
3. 在右侧窗格中,单击“过滤当前日志”。
4. 在“事件来源”下拉菜单中,选择“Microsoft-Windows-Security-Auditing”。
5. 在“事件 ID”文本框中,输入“4725”(这是 AD 账户禁用事件的 ID)。
6. 单击“确定”。
此时,您应该能够看到与 AD 账户禁用的相关的所有事件。
当然除了以上常见的AD账户事务日志以外,还有一些其他域账户相关事务日志,列举如下以供大家参考
4720:账户被创建。
4722:账户启用。
4723:账户更改密码。
4724:账户密码重置。
4725:账户被禁用。
4726:账户被删除。
4727:安全组成员添加。
4728:安全组成员删除。
4729:安全组创建。
4730:安全组删除。
4731:安全组成员添加失败。
4732:安全组成员删除失败。
4733:安全组更改。
4734:安全组成员更改。
4735:对象被命名。
4737:对象被重命名。
4738:账户属性更改。
4740:账户被锁定。
4767:账户密码重置。
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/5308.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~