我已打开审核帐户管理以监视从 Active Directory 中删除用户帐户的情况。我可以在域控制器的安全日志中查看这些事件吗?我们有两个域控制器 - 事件会在两个日志中,还是我需要检查两台机器?我应该寻找什么类别?
我问是因为我有一个重复出现的问题,即 SharePoint 列表停止接收电子邮件。这是因为某些用户/进程/gremlin 经常删除 Active Directory 中的电子邮件别名帐户。这又发生了,我想查看日志中记录的事件,以便识别用户/进程/gremlin。
编辑
这是一个联系人,而不是用户。不知道会不会有影响...
安全事件显示在用于处理请求的 DC 的日志中,因此哪个 DC 用于验证帐户特权。所以你需要检查两个 DC。
您可以使用server 2003 资源工具包中包含的免费Event Comb工具,它可以从多台计算机收集特定事件并将它们显示在一个地方。
您需要同时检查两者。您正在帐户管理类别中查找事件 ID 630。以下是有关事件记录格式的参考,以防您通过脚本自动解析:
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=630