我需要检查我的组织中的一台服务器何时添加到安全组,是指哪个日期或如果可能的话检查谁添加了它?是否有任何我可以检查的 power shell 命令。
问问题
1566 次
1 回答
1
要获得所需的信息,您首先需要确保审核您想要的 AD 更改。尝试在 google 上搜索“Active Directory 审计安全组”,或者直接访问第一个结果:Auditing Group Membership Changes in Active Directory。
启用它后,对帐户的更改将被审核/记录在域控制器上的安全日志中。现在您可以简单地使用 PowerShell 来搜索它。前任。如果该组是全局安全组,则添加成员的 eventid 为632. 因此,要搜索组“FOO”,请使用:
Get-EventLog -LogName Security -InstanceId 632 -Message "*FOO*"
这应该(没有使用 atm 验证的测试实验室。)包括谁进行了更改,谁被添加到了哪个组(FOO)以及何时完成。该事件只会显示在请求发送到的域控制器上(!)。
如果您有多个域控制器(如您所愿),则应使用事件订阅将事件收集到中央服务器或工作站。您还可以使用 WMI 订阅在发生类似的新事件时运行脚本。在 SO 或 google 上的简单搜索将向您展示如何做到这一点。
编辑如果对我投反对票的人稍后阅读此内容,请您发表评论并说明原因。当你从来没有得到反馈时,很难改进。答案包括解释和解决方案,包括必要的 PowerShell 命令,所以我看不出我做错了什么。
于 2013-04-06T10:09:48.207 回答