Прошу прощения, что задаю вопрос по очень старой операционной системе:
Клиент, с которым я работаю, имеет контроллеры домена Windows Server 2008 R2 и Windows Server 2012. Однако они все еще работают на функциональном уровне домена и леса Windows Server 2003 (да, это плохо, срок службы закончился и не поддерживается, и работа продолжается, чтобы убедить их повысить его).
Они пытаются получить журналы об изменении учетной записи пользователя активного каталога. Я знаю, что, начиная с Windows Server 2008, в ведение журнала событий было внесено множество улучшений для записи дополнительной информации о том, какие атрибуты были изменены и т. Д., И Я почти уверен, что схему нужно было повысить, чтобы журнал событий мог записывать эти другие элементы и атрибуты.
Клиент, с которым я работаю, ищет документацию по этому поводу, и мне очень трудно найти официальную документацию от Microsoft, касающуюся улучшений в журнале событий.
Может ли кто-нибудь подтвердить, что это так, или указать мне направление, в котором Microsoft записывает эти изменения?
Для обнаружения изменений учетной записи пользователя в Active Directory необходимо включить политики аудита в объекте групповой политики безопасности контроллера домена по умолчанию. Включите политику аудита «Аудит управления учетными записями пользователей».
Затем вы можете искать такие события, как создание учетной записи пользователя, удаление учетной записи пользователя или изменение учетной записи пользователя и т. Д.
Здесь я нашел информативный пост, который позволяет вам поэтапно записывать изменения, сделанные в Active Directory: https://community.spiceworks.com/how_to/129229-how-to-record-changes-made-in-active-directory
Надеюсь это поможет!