当您拥有一个 Active Directory(AD)域环境时,您需要确保您能够追踪每个域用户账户的创建、删除和修改活动。这是因为在任何给定的时间,您可能需要查看这些活动的详细信息,以了解谁进行了什么操作,以及何时发生的操作。本篇文章将向您介绍如何查询 AD 域账户的创建、删除和修改日志。

在开始之前,请确保您有足够的权限来查看 AD 日志。要查看 AD 日志,您需要使用具有适当权限的管理员帐户登录到 AD 管理工具。

1. 查询AD账户创建日志

要查询 AD 账户创建日志,您可以使用以下步骤:

1. 打开“事件查看器”工具。
2. 在“事件查看器”窗口中,选择“Windows 日志” > “安全”。
3. 在右侧窗格中,单击“过滤当前日志”。
4. 在“事件来源”下拉菜单中,选择“Microsoft-Windows-Security-Auditing”。
5. 在“事件 ID”文本框中,输入“4720”(这是 AD 账户创建事件的 ID)。
6. 单击“确定”。

此时,您应该能够看到与 AD 账户创建相关的所有事件。这些事件将包含有关账户名称、创建日期和时间、创建者等信息。

2. 查询AD账户删除日志

要查询 AD 账户删除日志,您可以使用以下步骤:

1. 打开“事件查看器”工具。
2. 在“事件查看器”窗口中,选择“Windows 日志” > “安全”。
3. 在右侧窗格中,单击“过滤当前日志”。
4. 在“事件来源”下拉菜单中,选择“Microsoft-Windows-Security-Auditing”。
5. 在“事件 ID”文本框中,输入“4726”(这是 AD 账户删除事件的 ID)。
6. 单击“确定”。

此时,您应该能够看到与 AD 账户删除相关的所有事件。这些事件将包含有关账户名称、删除日期和时间、删除者等信息。

3. 查询AD账户修改日志

要查询 AD 账户修改日志,您可以使用以下步骤:

1. 打开“事件查看器”工具。
2. 在“事件查看器”窗口中,选择“Windows 日志” > “安全”。
3. 在右侧窗格中,单击“过滤当前日志”。
4. 在“事件来源”下拉菜单中,选择“Microsoft-Windows-Security-Auditing”。
5. 在“事件 ID”文本框中,输入“4724”(这是 AD 账户修改事件的 ID)。
6. 单击“确定”。

此时,您应该能够看到与 AD 账户修改的相关的所有事件。

4. 查询AD账户禁用日志

要查询 AD 账户禁用日志,您可以使用以下步骤:

1. 打开“事件查看器”工具。
2. 在“事件查看器”窗口中,选择“Windows 日志” > “安全”。
3. 在右侧窗格中,单击“过滤当前日志”。
4. 在“事件来源”下拉菜单中,选择“Microsoft-Windows-Security-Auditing”。
5. 在“事件 ID”文本框中,输入“4725”(这是 AD 账户禁用事件的 ID)。
6. 单击“确定”。

此时,您应该能够看到与 AD 账户禁用的相关的所有事件。

当然除了以上常见的AD账户事务日志以外,还有一些其他域账户相关事务日志,列举如下以供大家参考

  • 4720:账户被创建。
  • 4722:账户启用。
  • 4723:账户更改密码。
  • 4724:账户密码重置。
  • 4725:账户被禁用。
  • 4726:账户被删除。
  • 4727:安全组成员添加。
  • 4728:安全组成员删除。
  • 4729:安全组创建。
  • 4730:安全组删除。
  • 4731:安全组成员添加失败。
  • 4732:安全组成员删除失败。
  • 4733:安全组更改。
  • 4734:安全组成员更改。
  • 4735:对象被命名。
  • 4737:对象被重命名。
  • 4738:账户属性更改。
  • 4740:账户被锁定。
  • 4767:账户密码重置。