05
2024
03
22:32:46

如何查询AD域账户相关事务日志

当您拥有一个 Active Directory(AD)域环境时,您需要确保您能够追踪每个域用户账户的创建、删除和修改活动。这是因为在任何给定的时间,您可能需要查看这些活动的详细信息,以了解谁进行了什么操作,以及何时发生的操作。本篇文章将向您介绍如何查询 AD 域账户的创建、删除和修改日志。


在开始之前,请确保您有足够的权限来查看 AD 日志。要查看 AD 日志,您需要使用具有适当权限的管理员帐户登录到 AD 管理工具


1. 查询AD账户创建日志


要查询 AD 账户创建日志,您可以使用以下步骤:


1. 打开“事件查看器”工具。

2. 在“事件查看器”窗口中,选择“Windows 日志” > “安全”。

3. 在右侧窗格中,单击“过滤当前日志”。

4. 在“事件来源”下拉菜单中,选择“Microsoft-Windows-Security-Auditing”。

5. 在“事件 ID”文本框中,输入“4720”(这是 AD 账户创建事件的 ID)。

6. 单击“确定”。


此时,您应该能够看到与 AD 账户创建相关的所有事件。这些事件将包含有关账户名称、创建日期和时间、创建者等信息。


2. 查询AD账户删除日志


要查询 AD 账户删除日志,您可以使用以下步骤:


1. 打开“事件查看器”工具。

2. 在“事件查看器”窗口中,选择“Windows 日志” > “安全”。

3. 在右侧窗格中,单击“过滤当前日志”。

4. 在“事件来源”下拉菜单中,选择“Microsoft-Windows-Security-Auditing”。

5. 在“事件 ID”文本框中,输入“4726”(这是 AD 账户删除事件的 ID)。

6. 单击“确定”。


此时,您应该能够看到与 AD 账户删除相关的所有事件。这些事件将包含有关账户名称、删除日期和时间、删除者等信息。


3. 查询AD账户修改日志


要查询 AD 账户修改日志,您可以使用以下步骤:


1. 打开“事件查看器”工具。

2. 在“事件查看器”窗口中,选择“Windows 日志” > “安全”。

3. 在右侧窗格中,单击“过滤当前日志”。

4. 在“事件来源”下拉菜单中,选择“Microsoft-Windows-Security-Auditing”。

5. 在“事件 ID”文本框中,输入“4724”(这是 AD 账户修改事件的 ID)。

6. 单击“确定”。


此时,您应该能够看到与 AD 账户修改的相关的所有事件。


4. 查询AD账户禁用日志


要查询 AD 账户禁用日志,您可以使用以下步骤:


1. 打开“事件查看器”工具。

2. 在“事件查看器”窗口中,选择“Windows 日志” > “安全”。

3. 在右侧窗格中,单击“过滤当前日志”。

4. 在“事件来源”下拉菜单中,选择“Microsoft-Windows-Security-Auditing”。

5. 在“事件 ID”文本框中,输入“4725”(这是 AD 账户禁用事件的 ID)。

6. 单击“确定”。


此时,您应该能够看到与 AD 账户禁用的相关的所有事件。


当然除了以上常见的AD账户事务日志以外,还有一些其他域账户相关事务日志,列举如下以供大家参考


4720:账户被创建。

4722:账户启用。

4723:账户更改密码。

4724:账户密码重置。

4725:账户被禁用。

4726:账户被删除。

4727:安全组成员添加。

4728:安全组成员删除。

4729:安全组创建。

4730:安全组删除。

4731:安全组成员添加失败。

4732:安全组成员删除失败。

4733:安全组更改。

4734:安全组成员更改。

4735:对象被命名。

4737:对象被重命名。

4738:账户属性更改。

4740:账户被锁定。

4767:账户密码重置。




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/5308.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: