Назад | Перейти на главную страницу

Идентификатор события для измененных объектов групповой политики

Я должен знать, кто (идентификатор пользователя или имя пользователя) изменил указанный объект групповой политики для указанного подразделения в Active Directory. Учитывая, что наши настройки аудита включают это, какой идентификатор события следует искать?

В Windows Server 2008 это событие с кодом 5136 (Изменения службы каталогов). См. Также идентификаторы событий 5137 (создание), 5138 (восстановление), 5130 (перемещение). Событие с кодом 4662 содержит событие аудита старого стиля (см. Ниже).

В Windows 2000 Server и Windows Server 2003:

[T] Политика Аудит доступа к службе каталогов был единственным средством контроля, доступным для Active Directory. События, которые были созданы этим элементом управления, не отображали старые и новые значения каких-либо изменений. Этот параметр генерировал события аудита в журнале безопасности с идентификационным номером 566. В Windows Server 2008 подкатегория политики аудита Доступ к службе каталогов по-прежнему генерирует те же события, но номер идентификатора события изменяется на 4662.

мы можем увидеть эту статью http://www.morgantechspace.com/2013/11/Event-ID-5136-AD-Object-Change-Audit-Event.html чтобы узнать о событии с идентификатором 5136 .. он объясняет, как сопоставить старое значение и событие нового значения