Security 如何知道计算机对象何时添加到安全组
我需要检查组织中的一台服务器何时添加到安全组,这意味着哪个日期,或者如果可能,检查是谁添加的?是否有任何power shell命令可供我检查。要获取所需信息,首先需要确保审核所需AD中的更改。请尝试在google上搜索“active directory审核安全组”,或访问第一个结果: 启用后,将在域控制器的安全日志中审核/记录对帐户的更改。现在,您可以简单地使用PowerShell进行搜索。例如,如果组是全局安全组,则添加成员的eventid为Security 如何知道计算机对象何时添加到安全组,security,powershell,active-directory,Security,Powershell,Active Directory,我需要检查组织中的一台服务器何时添加到安全组,这意味着哪个日期,或者如果可能,检查是谁添加的?是否有任何power shell命令可供我检查。要获取所需信息,首先需要确保审核所需AD中的更改。请尝试在google上搜索“active directory审核安全组”,或访问第一个结果: 启用后,将在域控制器的安全日志中审核/记录对帐户的更改。现在,您可以简单地使用PowerShell进行搜索。例如,如果组是全局安全组,则添加成员的eventid为632。因此,要搜索组“FOO”,请使用: 这应该(
632
。因此,要搜索组“FOO”,请使用:
这应该(没有一个测试实验室来验证atm)包括谁做了改变,谁加入了什么小组(FOO)以及什么时候做了改变。该事件将仅显示在请求发送到的域控制器上(!)
如果您有多个域控制器(您应该这样做),则应使用事件订阅将事件收集到中央服务器或工作站。您还可以使用WMI订阅来运行脚本,无论何时出现像这样的新事件。在SO或google上进行简单搜索,您将看到如何做到这一点
编辑如果否决我的人稍后读到这篇文章,请留下评论并说明原因。当你永远得不到反馈时,很难改进。答案包括解释和解决方案,包括必要的PowerShell命令,因此我看不出我做错了什么。谢谢您的回复。。我先尝试了谷歌,然后在这里写了我的第一个问题。可能是我没有使用正确的关键字,因为无法找到解决办法。再次感谢。我要试试这个。
Get-EventLog -LogName Security -InstanceId 632 -Message "*FOO*"