Jump to content

Domänen-Benutzer gelöscht - Logfile ?

beaver

Von beaver
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

beaver

beaver   10

Geschrieben
Geschrieben

Hallo zusammen

 

Wird das irgendwo protokolliert wenn eine Domänen-Benutzer aus der AD gelöscht wird?

Also im Event-Viewer sehe ich nichts. Kann man das auf irgendeine Weise herausfinden?

 

Gruss

Beaver

Daim Veteran

Daim   12

Geschrieben
Geschrieben

Servus,

 

Wird das irgendwo protokolliert wenn eine Domänen-Benutzer aus der AD gelöscht wird?

 

ja, standardmäßig wird es.

 

Also im Event-Viewer sehe ich nichts.

 

Dann schau genauer hin.

 

Kann man das auf irgendeine Weise herausfinden?

 

Schau in das Sicherheitsprotokoll der DCs und suche nach der EventID 630.

Denn standardmäßig wird das löschen eines Benutzerkontos nämlich protokolliert.

beaver

beaver   10

Geschrieben
  • Autor
Geschrieben
Schau in das Sicherheitsprotokoll der DCs und suche nach der EventID 630.

Denn standardmäßig wird das löschen eines Benutzerkontos nämlich protokolliert.

 

 

Also ich finde im EventLog keinen einzigen Eintrag mit der Event ID 630.

Und ich bin mir ziemlich sicher das unser Server Standardeinstellungen hat.

Es handelt sich übrigens um einen W2K3 R2 Std Server.

Daim Veteran

Daim   12

Geschrieben
Geschrieben
Also ich finde im EventLog keinen einzigen Eintrag mit der Event ID 630.

Und ich bin mir ziemlich sicher das unser Server Standardeinstellungen hat.

Es handelt sich übrigens um einen W2K3 R2 Std Server.

 

Wenn du mehrere DCs in der Domäne hast, musst du natürlich auf allen DCs das Eventlog kontrollieren. Ansonsten erstelle dir doch einen Test-User und lösche diesen. Anschließend kontrollierst du das Eventlog erneut und wirst danach schnell merken, dass es die EventID 630 ist.

beaver

beaver   10

Geschrieben
  • Autor
Geschrieben

Also bei uns wird überhaupt nichts protokolliert wo mit Account Management zu tun hat. Ist wohl doch nicht die Standardeinstellung :confused:

 

Kann man das einfach irgendwo aktivieren ??

OK, habs gefunden. In den Default Domain Controller Security Settings war

die Überwachungsrichtlinie -> Audit Account Management nicht aktiviert. :)

 

Danke und schönen Tag euch allen!

blub Grand Master

blub   115

Geschrieben
Geschrieben

im Userobjekt selbst wird zumindest protokolliert, wann es gelöscht wurde und an welchem DC, wenn es mehrere gibt.. Dazu musst du in den "deleted objects" Container reingehen und dir die metadaten z.b. mit repadmin ansehen

 

cu

blub

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...