检查服务器,发现被添加了一个账户,于是检查日志,希望能查到一些蛛丝马迹。
但事与愿违,什么也没有查到。
后来在网上查到,只有设置了账户管理审核,系统才会生成用户添加到相关日志。
具体设置方法:
本地安全设置->本地策略->审核策略->“审核账户管理”设置为成功,如下图所示。
设置成功后,如有添加用户的操作,即可在事件查看器->安全性中看到“账户管理”类的日志:
日志的详细信息如下:
除了添加用户外,更改、删除、重命名、禁用(启用)用户,甚至设置(更改)用户密码的操作,都会生成相应的日志。
阅读(1638) | 评论(0) | 转发(0) |