Где я могу найти журналы событий для компьютеров, которые добавляются или отключаются / удаляются из домена?
Поскольку я активировал ведение журнала служб каталогов, я хотел найти журналы, касающиеся компьютеров, которые добавляются в домен и удаляются / отключаются от домена.
Я просматривал наши журналы «Службы каталогов» и не смог найти никаких журналов, которые отображают информацию об этом.
Функция «найти» также не смогла найти никаких журналов при поиске недавно добавленного имени компьютера.
Есть ли более разумный способ найти эти журналы?
Я перечислю идентификаторы событий, которые вас беспокоят:
- Событие с кодом 4741 - создана учетная запись компьютера.
- Событие с кодом 4743 - была удалена учетная запись компьютера.
Чтобы увидеть эти идентификаторы событий в средстве просмотра событий (при прямом входе в систему на контроллере домена или удаленно), вам необходимо создать объект групповой политики. для вашего контроллера (ов) домена:
Computer Configuration
-Policies
-Security Settings
-Advanced Audit Policy Configuration
-Audit Policies
-Account Management
включить Аудит управления учетной записью компьютера по крайней мере с Успех. у меня есть Успех и Неудача позволяет отслеживать оба.
Кроме того, вот хорошее пошаговое руководство TechNet по расширенной политике аудита. https://technet.microsoft.com/en-us/library/dd408940(v=ws.10).aspx
