728x90
누가 언제 계정을 삭제 했는지 확인 해 달라는 경우가 있습니다.
GPO를 이용한 계정 감사를 해보았습니다.
계정 관리 감사 활성화 방법입니다.
- 그룹 정책 관리 -> Default Domain Policy -> 편집 -> 컴퓨터 구성 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 감사 정책
- 계정 관리 감사 정책 활성화
- 실행 -> cmd -> gpupdate /force 실행
상위와 같이 계정 관리 감사 정책을 활성화 하면 계정 생성 및 삭제 된 정보가 이벤트 로그에 남게 됩니다.
- 계정 생성 테스트
계정을 생성하게 되면 하기와 같이 4738 이벤트가 발생
- 계정 삭제 테스트
계정을 삭제하면 하기와 같이 4726 이벤트가 발생
끝
728x90
'IT이야기 > ActiveDirectory' 카테고리의 다른 글
| Active Directory 마이그레이션 절차 (기존 도메인 컨트롤러 정보를 유지할 필요 없는 경우) (0) | 2016.07.12 |
|---|---|
| Active Directory 마이그레이션 절차 (기존 도메인 컨트롤러 정보를 유지해야 하는 경우) (0) | 2016.07.12 |
| (그룹 정책) Print Screen 사용 차단 (0) | 2016.07.12 |
| 로그인 30일 지난 사용자 조회 및 disable/OU 이동 (0) | 2016.04.21 |
| ActiveDirectory 삭제된 사용자 복구 방법 (0) | 2016.04.21 |