我已经打开审计帐户pipe理来监视从Active Directory删除用户帐户。 我可以在域控制器的安全日志中查看这些事件吗? 我们有两个域控制器 – 事件是在两个日志中,还是我需要检查两台机器? 我应该寻找什么类别?
我问,因为我有一个SharePoint列表停止接收电子邮件反复出现的问题。 这是因为某些用户/进程/ gremlin每隔一段时间都会删除Active Directory中的电子邮件别名帐户。 这只是再次发生,我想看到事件logging在日志中,所以我可以识别用户/进程/ gremlin。
编辑
这是一个联系人,而不是一个用户。 我不知道这是否有所作为
安全事件显示在用于处理请求的DC日志中,所以使用哪个DC来validation帐户权限。 所以你需要检查两个DC。
您可以使用Server 2003资源工具包中包含的免费Event Comb工具,这可以从多台计算机收集特定事件,并将它们显示在一个位置。
你需要检查两个。 您正在帐户pipe理类别中查找事件ID 630。 以下是关于事件logging格式的参考,以防您通过脚本自动parsing:
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=630