beaver 10 Geschrieben 16. Oktober 2008 Melden Teilen Geschrieben 16. Oktober 2008 Hallo zusammen Wird das irgendwo protokolliert wenn eine Domänen-Benutzer aus der AD gelöscht wird? Also im Event-Viewer sehe ich nichts. Kann man das auf irgendeine Weise herausfinden? Gruss Beaver Zitieren Link zu diesem Kommentar
Gabriel70 10 Geschrieben 16. Oktober 2008 Melden Teilen Geschrieben 16. Oktober 2008 Hallo und guten Morgen ! Meines Wissens nach musst du die Protokollierung des AD erweitern. Sieh dir das mal an: Yusufs Directory Blog - Die Protokollierung des Active Directory`s konfigurieren Muß jemand mit Admin-Rechten gewesen sein :suspect: Gruß Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 16. Oktober 2008 Melden Teilen Geschrieben 16. Oktober 2008 Servus, Wird das irgendwo protokolliert wenn eine Domänen-Benutzer aus der AD gelöscht wird? ja, standardmäßig wird es. Also im Event-Viewer sehe ich nichts. Dann schau genauer hin. Kann man das auf irgendeine Weise herausfinden? Schau in das Sicherheitsprotokoll der DCs und suche nach der EventID 630. Denn standardmäßig wird das löschen eines Benutzerkontos nämlich protokolliert. Zitieren Link zu diesem Kommentar
beaver 10 Geschrieben 16. Oktober 2008 Autor Melden Teilen Geschrieben 16. Oktober 2008 Schau in das Sicherheitsprotokoll der DCs und suche nach der EventID 630.Denn standardmäßig wird das löschen eines Benutzerkontos nämlich protokolliert. Also ich finde im EventLog keinen einzigen Eintrag mit der Event ID 630. Und ich bin mir ziemlich sicher das unser Server Standardeinstellungen hat. Es handelt sich übrigens um einen W2K3 R2 Std Server. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 16. Oktober 2008 Melden Teilen Geschrieben 16. Oktober 2008 Also ich finde im EventLog keinen einzigen Eintrag mit der Event ID 630.Und ich bin mir ziemlich sicher das unser Server Standardeinstellungen hat. Es handelt sich übrigens um einen W2K3 R2 Std Server. Wenn du mehrere DCs in der Domäne hast, musst du natürlich auf allen DCs das Eventlog kontrollieren. Ansonsten erstelle dir doch einen Test-User und lösche diesen. Anschließend kontrollierst du das Eventlog erneut und wirst danach schnell merken, dass es die EventID 630 ist. Zitieren Link zu diesem Kommentar
beaver 10 Geschrieben 16. Oktober 2008 Autor Melden Teilen Geschrieben 16. Oktober 2008 Also bei uns wird überhaupt nichts protokolliert wo mit Account Management zu tun hat. Ist wohl doch nicht die Standardeinstellung :confused: Kann man das einfach irgendwo aktivieren ?? – OK, habs gefunden. In den Default Domain Controller Security Settings war die Überwachungsrichtlinie -> Audit Account Management nicht aktiviert. :) Danke und schönen Tag euch allen! Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 16. Oktober 2008 Melden Teilen Geschrieben 16. Oktober 2008 im Userobjekt selbst wird zumindest protokolliert, wann es gelöscht wurde und an welchem DC, wenn es mehrere gibt.. Dazu musst du in den "deleted objects" Container reingehen und dir die metadaten z.b. mit repadmin ansehen cu blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.