監控域帳戶更改

平時在作活動目錄管理的時候，有時候須要知道是哪一個管理員對域帳戶作了操做，就須要用到審覈日誌了。默認狀況下是沒法記錄帳戶是誰建立的，修改了什麼內容的。特別在多管理員的狀況下，就顯得特別重要了。
能夠經過啓用審覈策略來實現這個功能。
在域級別新建一條GPO，而後編輯其中的Computer Configuration--Policies--Windows Settings--Security Settings--Local Policies--Security Options--Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.
啓用這個策略以採用高級審覈策略。若是看不到圖，請點我。

而後再編輯Computer Configuration--Policies--Windows Settings--Security Settings--Advanced Audit Policy Configuration--Audit Policies--Account Management--Audit User Account Management

這樣就能夠了。記得在域控上運行gpupdate /force刷新策略。
在系統的安全日誌中就能看到相應的信息了。
如下事件ID供參考。

1.Event ID 4720 用戶帳戶建立.
2.Event ID 4722 用戶帳戶啓用.
3.Event ID 4740 用戶帳戶被鎖定.
4.Event ID 4725 用戶帳戶被禁用.
5.Event ID 4726 用戶帳戶被刪除.
6.Event ID 4738 用戶帳戶更改.
7.Event ID 4781 用戶帳戶更名.