问如何知道是谁将成员添加到中的组中

EN

步骤1：“用户帐户管理”审计策略执行以下步骤以启用“用户帐户管理”审计策略：

转到“管理工具”并在主“域控制器”上打开“组策略管理”控制台。在“组策略管理”中，创建一个新的GPO或编辑现有的GPO。建议创建一个新的GPO，将其链接到域并进行编辑。要创建新的GPO，右键单击左侧面板中的域名，然后单击“在此域中创建GPO，并将其链接到此处”。它显示屏幕上的“新GPO”窗口。提供一个名称(在本例中为用户帐户管理)并单击“OK”。新的GPO出现在左窗格中。右键单击它，然后在上下文菜单中单击“编辑”。“组策略管理编辑器”出现在屏幕上。在此窗口中，您必须设置“审核用户帐户管理”策略。为此，导航到“计算机配置”➔“Windows设置”“➔”安全设置“➔”高级审核策略配置“➔”审核策略。选择“帐户管理”策略列出其所有子策略。双击“审核用户帐户管理”策略打开其“属性”窗口注:建议在“高级审核策略配置”中配置上述策略，而不是配置“本地策略”。这是因为您必须启用“本地策略”中的所有帐户管理策略，这将生成大量的事件日志。为尽量减少噪音，应首选“高级审核策略配置”。

​

​

图1：“审计用户帐户管理”策略

在策略属性中，单击以选中“定义这些策略设置”复选框。然后，选择“成功”和“失败”尝试复选框。您可以根据需要选择任何一个或两个选项。在我们的例子中，我们选择了这两个选项，因为我们希望审计成功和失败的尝试。

​

​

图2：“审核用户帐户管理”策略的属性

单击“Apply”和“OK”关闭属性窗口。建议立即更新组策略，以便在整个域中应用新的更改。在“命令提示符”中运行以下命令:在下面的图像中，您可以看到“Gpupdate”命令运行。

​

​

图3:更新组策略

步骤2:通过事件查看器跟踪用户帐户更改，跟踪Active Directory中的用户帐户更改，打开“”，然后转到“Windows”➔“Security”。使用右侧窗格中的“筛选当前日志”选项查找相关事件。

以下是与用户帐户管理有关的一些事件：

事件ID 4720显示创建了一个用户帐户。事件ID 4722显示启用了用户帐户。事件ID 4740显示用户帐户被锁定。事件ID 4725显示用户帐户已被禁用。事件ID 4726显示一个用户帐户被删除。事件ID 4738显示用户帐户被更改。事件ID 4781显示帐户的名称被更改。在我们的实验室环境中，我们启用了一个禁用的用户帐户。下图显示事件属性窗口的屏幕截图(事件Id 4722)。启用帐户的用户名显示在“Subject➔account name”字段下，帐户启用时间显示在“Logged”字段下。

​

​

图4:启用了一个用户帐户

若要查看其帐户已启用的用户名，您必须向下滚动事件的属性窗口的边栏。在下面的图像中，您可以在“Target➔Account name”字段中看到用户名。

​

​

图5:启用其帐户的用户名称