谁动了账号，AD\exchange行为记录启用审核策略

    启用此策略后，管理员可以看到是谁在AD上进行了账号、禁用、删除重置密码等操作，在exchange上进行账号管理也同样会记录在案，这样就避免了有些账号出现问题而无从查证的问题

打开组策略----计算机配置-----windows设置-----安全设置---本地策略---审核策略

按照截图内容开启策略设置

开启成功后、需要gpupdate /force 进行更新组策略

    策略更新完成后，使用lanzhong用户登录域控进行账号操作

将caochao进行账号禁用

    禁用完成后，打开windows日志，切换到安全选项卡中，我们可以看到

任务类别为用户账户管理，状态为审核成功，在常规窗口内，可以看到

记录的为“已禁用用户账号”

    切换到详细信息选项卡，可以看到目标账号为 caochao

操作账号为 lanzhong

这样就实现了账号操作监控

转载于:https://blog.51cto.com/lishengxian/1889992