如何审核所有使用域名服务帐户的地方？

这样做相当棘手。 最有效的方法是parsing每个正在寻找该域服务帐户login的机器上的安全事件日志。 一旦你确定哪些机器已经看到login，你可以find可以configuration使用它们的服务。 parsing事件日志是你想要的脚本，除非你只有几台机器。

不幸的是，Win XP没有默认打开安全日志（我相信）。

就个人而言，我会从Window Vista / 7或Server 2008运行脚本。抓取事件日志数据的工具wevtutil有很多改进。 您可以筛选login事件（4624）并将其转储到XML中以便于parsing。

wevtutil qe Security /r:$MachineName /q:"*[System[(EventID=4624)]" > $MachineName-Events.xml

首先做你的域控制器将至less告诉你什么IP地址login来自，但做整个域是唯一的方法是100％确定。

search安全事件日志只有在login事件被审计时才有用，我不相信这是默认启用的。 您需要在“默认域”策略中启用审核function，才能在非DC服务器上启用审核function（除非您的服务器专用OU和GPO，并且阻止了inheritance或将GPO设置为强制执行）您需要编辑适用的GPO）。 除此之外，configuration为使用域帐户的服务将在这些服务启动时logging在服务器安全日志中，而不是DC的安全日志。

configuration为使用域用户帐户的服务将在启动服务时在“logintypes5”的安全事件日志中生成一个事件ID 528，以便您可以筛选事件ID 528事件的安全事件日志以缩小结果。

我只是在自己的环境中validation了这一点（我认为我是基于我的testing），所以我相信这些信息是正确的。

另一个要看的项目是每个服务器上的计划任务，并查看是否有任何服务帐户被configuration为使用任何服务帐户。 如果是这样，您还需要更改计划任务中的密码。

为了扩展@joeqwerty，我认为你应该更好地对所有你关心的机器上的服务和计划任务进行审计，看看他们使用什么凭证。 我确定WMI公开了这些信息，所以你可以用VBS或者PowerShell做几行，然后在你的机器列表中远程运行它。

开启所有事件日志中的审计和拖网工作似乎还有更多的工作要做。