监控域账户更改

最新推荐文章于 2021-12-02 13:37:26 发布
最新推荐文章于 2021-12-02 13:37:26 发布
阅读量353 收藏 1
点赞数
原文链接:http://blog.51cto.com/qiyuwei/2421501
版权

平时在做活动目录管理的时候,有时候需要知道是哪个管理员对域账户做了操作,就需要用到审核日志了。默认情况下是无法记录账户是谁创建的,修改了什么内容的。特别在多管理员的情况下,就显得特别重要了。
可以通过启用审核策略来实现这个功能。
在域级别新建一条GPO,然后编辑其中的Computer Configuration--Policies--Windows Settings--Security Settings--Local Policies--Security Options--Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.
启用这个策略以采用高级审核策略。如果看不到图,请点我
监控域账户更改
然后再编辑Computer Configuration--Policies--Windows Settings--Security Settings--Advanced Audit Policy Configuration--Audit Policies--Account Management--Audit User Account Management
监控域账户更改
这样就可以了。记得在域控上运行gpupdate /force刷新策略。
在系统的安全日志中就能看到相应的信息了。
以下事件ID供参考。

1.Event ID 4720 用户账户创建.
2.Event ID 4722 用户账户启用.
3.Event ID 4740 用户账户被锁定.
4.Event ID 4725 用户账户被禁用.
5.Event ID 4726 用户账户被删除.
6.Event ID 4738 用户账户更改.
7.Event ID 4781 用户账户改名.

beizi3597
关注
监控账户登录
qishine的专栏
03-25 1818
 监控账户登录   对于有很大权限的账户,比如管理员账户我们希望能够实时监控他的登录情况。如果账户被他人盗取,我们在第一时间就判断是正常使用还是他人盗取后使用的。   这里介绍一种不借助第三方工具就能简单实现的邮件监控账户登录的方法。   首先,打开安全日志,找到用户登录的日志。在Windows 2012 R2中记录的日志是4626。其中记录了用户名
如何确认查看策略是否正确应用生效
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
01-08 3924
背景 对OU中的用户或是计算机究竟用了哪此策略了呢?究竟是否生效了,我们需要查看验证,单纯的通过gpresult命令,获取信息有限,本文将介绍如何利用windows系统的MMC(微软管理控制台/终端)中的“策略结果集”模块来验证。 方法 1、用成员身份登录成员主机,cmd里输入mmc,打开管理控制台: 2、文件—“添加删除管理单元”,添加策略结果集: 3、待RSOP完成之后,mmc中将显示应用到本计算机的组策略配置: 从上图看,相关策略是应用成功了,但为啥没生效,则需要从策略本身来检查。
监控Windows操作系统用户增删修改
xiejianjun417的专栏
07-11 1724
监控Windows操作系统的用户信息更改,可以采用监控注册表来实现。 在注册表中,用户和用户组信息保存在HKEY_LOCAL_MACHINE的SAM\\SAM\\Domains\\Account下面。用户信息保存在SAM\\SAM\\Domains\\Account\\Users下面;用户组信息保存在SAM\\SAM\\Domains\\Account\\Aliases下面。 当然可以采用写注
监控Windows 用户登陆情况 python
啦啦啦的博客
11-11 3310
首先要想让用户的登陆情况反馈到DC,要在组策略里开启下面两个,其实只监控用户的话选第二个就够了。   这个脚本起初是想通过powershell实现的,但是对powershell不是很熟悉,写起来困难。另一方面就是虽说powershell在windows上很强大, 但终究是shell,灵活程度不如编程语言。后续可能要应公司需要改为shell,到时再贴shell代码。 我先用p
如何查看AD账号的删除记录
灰-灰的博客
11-15 1万+
**如何查看AD账号删除记录及恢复** 在日常AD管理中,有时候我们不小心删除了账号,或者我们想查看这个账号是什么时候创建并删除的,那怎么办?是否可以恢复?其实微软本身已经为我们的账号信息做了备份机制,活动目录对象如果被删除,系统并没有直接将其彻底删除,而是放在了一个不可见的 CN 中,这个 CN就是 Delete Objects 。被删除的账户会在里面待保存180 天(默认)。 查看
排查账户频繁锁定
qishine的专栏
12-02 9340
最近2周一直被一个问题困扰,有用户频繁被锁定。但是无法找到用户从哪里发送的验证信息。 原因是为了加强安全监控,启用了用户账户锁定的通知。这个锁定通知是通过事件日志结合计划任务发送的,具体如何操作可以参考之前的文章《监控账户登录》或者《Windows 2012 R2 计划任务发送邮件》。 账户被锁定的唯一原因就是频繁的提供错误凭据做身份验证。当错误次数超过组策略里配置的限制次数后就会被锁定一段时间。锁定时间同样也是在组策略里配置的。这种锁定策略可以有效的保护账户安全,避免暴力破解。 现在账户被频繁锁定,
MDaemon 解决方案之同步AD账户方案
上海云璨的博客
07-29 1286
问题: 如果已经手动创建了MDaemon用户,但是希望和AD中存在的用户进行同步,该怎么做才能实现平滑过渡呢? 相关说明: ①由于AD和MDaemon之间是单向同步(只能通过AD同步到MDaemon),并且AD与MDaemon同步只是验证账户,不会对MDaemon邮箱中的邮件等数据造成修改。除非设置了如下选项: 那么在对AD上的用户进行删除操作时,MDaemon上同步的用户...
AD与MDaemon账户同步设置问题
上海云璨的博客
07-24 921
这篇文章将对MDaemon如何同步AD用户进行说明。我们在MDaemon可以看到和活动目录有关的由两个地方:一个是在导入账户中的【从SAM/活动目录中导入】;还有一个是在账户->账户设置->活动目录。通过这两种不同的方式都可以将AD中用户导入到MDaemon中。并且该文章的部分内容会对如下问题进行说明: ①AD账户和MD账户命名规则不同,如何同步? ②先有MD账户后创建AD...
01形考任务1第3章实训项目报告管理用户账户与组账户.zip
02-27
管理员账户拥有更广泛的系统访问权限,可以管理其他用户账户、安装软件、更改系统设置等。 组账户是用户账户的集合,它的主要目的是简化权限管理。通过将多个用户添加到一个组,管理员可以一次为整个组分配权限,而...
构建Windows与用户账户管理
12-28
加入后,客户端需要重启,然后它就可以使用账户登录到网络,而不是使用本地账户。 创建之后,用户账户管理成为控制器的主要职责之一。管理员需要在控制器中为新加入的用户创建相应的用户账户。这通常...
账户批量处理-属性修改
Cloud_YC_Wei的博客
12-18 2201
要熟练的对于账户属性进行修改,第一步是需先认识并AD中账户属性 直接上属性字段 “常规”标签 姓Sn 名Givename 英文缩写Initials 显示名称displayName 描述Description 办公室physicalDeliveryOfficeName 电话号码telephoneNumber 电话号码:其它otherTelephone多个以英文...
AD账户锁定排错(已解决)
weixin_33913377的博客
06-23 2908
===问题描述===用户反应他的账户总是被锁定,起初锁定时间一个小时左右,如今已经缩短到了30秒以内===原因分析===造成账户锁定的原因通过powershell查看用户在两个星期前修改过密码,这也是造成锁定的×××旧的密码凭据还保留在其他服务器或者客户端上,正在尝试进行某种操作用户使用的计算机中了病毒或者有人恶意尝试密码这里只有他一个人被锁定了,可以排除病毒的可能,恶意尝试...
跟踪被锁的AD账号
weixin_34162695的博客
04-15 273
豆子最近修改了Sophos的升级账号的密码,结果导致该账户频频被锁。我需要找出究竟是哪些客户端上配置了错误的密码,导致这个问题。方法很简单,也很传统。一句话,找到对应的DC,然后从DC日志上找到对应的登陆用户和计算机。首先确认组策略里面打开了对应的审计功能。只有enable了Audit Kerberos authentication service, 我们才能查看4771事件。然后需要下载一个工具...
Powershell-加脚本
weixin_30538029的博客
06-14 801
$domain = "abc" $password = "mima" | ConvertTo-SecureString -asPlainText -Force $username = "abc\ddd" $ADUser="abc\ddd" $credential = New-Object System.Management.Automation.PSCredential($u...
关于Ldap对AD账户的增删改查
热门推荐
Joyce Luo的专栏
08-11 1万+
今天心情不很爽,那啥也不懂的老板,又来直接修改了我的需求,还很自信的对我们研发人员说:“他这产品经理已经做得很好了!”,在这里我回复一句,以我这么多年的经验,做得跟一条狗似的!!!好啦,不扯别的啦,来讲讲Ldap对AD账户的操作吧!至于Ldap和ad今天就不做详细解释了,有兴趣的朋友可以看看上一篇博文,里面有详细的介绍!直接上代码: /** * @Description: * * @T
PowerShell查询AD内长期没有登录的计算机对象
weixin_33806300的博客
09-23 1949
使用PowerShell命令查询Active Directory中长时间没有登录计算机帐户。本文章以60天为例,大家可以根据需要修改。下面给出脚本:# This PowerShell Command will query Active Directory and return the computer accounts which have not logged for t...
SqlServer 更改跟踪(Chang Tracking)
05-19 8400
对于跟踪数据库表的 DML 操作,SQLserver 2008 及以上版本提供了 变更数据捕获和更改跟踪。 变更数据库捕获 与 跟踪更改 的区别: 变更数据捕获与更改跟踪都是记录表的DML操作 变更数据捕获可把操作数据的历史值保存下来;更改跟踪捕获更改了表行这一事实,但不会捕获更改的数据。 变更数据捕获使用异步进程捕获,该进程扫描事务日志;更改跟踪同步跟踪DML操作 更多参考
Zabbix日志监控监控Windows用户登录
weixin_34273479的博客
09-14 900
Zabbix监控Windows用户登录是通过对Windows日志的监控来实现。在登录审核失败或者登录成功时发出告警。告警邮件示例: 下面给出监控思路和步骤:一、分析登录日志打开事件查看器,依次选择“Windows日志”->“安全”。 1、登录成功的日志通常一个登录成功的日志有四条:其中事件ID为4624的日志里包含登录...
SIP监控和SIP非监控结构
春秋繁露
07-18 4040
一、SIP监控互联结构 联网系统内部进行视视频、音频、数据等信息交互传输控制协议结构。 会话通道遵循的协议 SIP( 会话初始协议) 安全注册、实时视音频点播、历史视音频的回放等应用的会话控制采用RFC 3261(SIP)规定的REGISTER、INVITE等请求和响应方法实现,历史视音频回放控制采用SIP扩展协
Windows 2008服务器:环境构建与账户管理提升运维效率
7. **实践任务**:教材中包括具体任务如在企业中架设环境、账户的管理以及组策略的运用,这些实际操作技能对于提升企业网络管理水平至关重要。 Windows Server 2008的环境架设和账户管理是现代企业IT运维不可...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值