我必须知道,who(usersid或loginname)为Active Directory中的指定OU更改了指定的GPO。 鉴于我们的审计设置包括这个,什么是正确的事件ID寻找?
在Windows Server 2008上,它是事件ID 5136( 目录服务更改 )。 另请参阅事件ID 5137(创build),5138(取消删除),5130(移动)。 事件ID 4662包含旧式审核事件(请参阅下文)。
在Windows 2000 Server和Windows Server 2003上:
他的政策审计目录服务访问是唯一可用于Active Directory的审计控制。 这个控件产生的事件没有显示任何修改的新旧值。 此设置会在ID号为566的安全日志中生成审核事件。在Windows Server 2008中,审核策略子类别“目录服务访问”仍会生成相同的事件,但事件ID号会更改为4662。
我们可以看到这篇文章http://www.morgantechspace.com/2013/11/Event-ID-5136-AD-Object-Change-Audit-Event.html了解事件ID 5136 ..它解释了如何映射旧价值和新的价值事件