itshark
Goto Top

Domain Controller Eventlog

Moin zusammen,

ich bin auf der Suche nach einem Eintrag im Eventlog und werde nicht fündig.
Wo finde ich die Info wer (User) einen Computer im AD wieder aktiviert hat (war vorher deaktiviert)?

Muss ich dazu genau auf dem DC suchen auf dem die Aktivierung durchgeführt wurde oder kann ich das auf jedem DC finden (70Stk. im Unternehmen)?
Wenn ja wonach muss ich genau schauen?

Viele Grüße,
Olli

Content-Key: 586220

Url: https://administrator.de/contentid/586220

Printed on: May 22, 2024 at 15:05 o'clock

Member: Hubert.N
Hubert.N Jul 09, 2020 at 16:11:16 (UTC)
Goto Top
Moin face-smile

Der Eintrag wird auf dem Domaincontroller im Security-Log geschrieben. Bei 70 DCs könnte das tatsächlich ein wenig schwierig werden.

Das Aktivieren eines Computerkontos wird mit Event 4722 im Log eingetragen. Das Deaktivieren mit 4725. (und ich ich kann es mir gerade nicht verkneifen, anzumerken, dass Du das auch ganz schnell durch einen kleinen Selbstversuch hättest herausfinden können...)

und wenn Du es ansonsten wirklich wissen willst, dann hilft Dir Google und wirft z.B. das aus: https://blog.ipswitch.com/de/so-k%C3%B6nnen-sie-windows-ereignisprotokol ...

Gruß
Member: emeriks
emeriks Jul 10, 2020 updated at 08:44:54 (UTC)
Goto Top
Hi,
Muss ich dazu genau auf dem DC suchen auf dem die Aktivierung durchgeführt wurde
ja
oder kann ich das auf jedem DC finden
nein
Wenn ja wonach muss ich genau schauen?
Log "Sicherheit"

E.
Member: ITShark
ITShark Jul 10, 2020 at 12:33:19 (UTC)
Goto Top
Moin Hubert,

danke deine Infos haben mir sehr geholfen. Gegooglet habe ich, allerdings ist es manchmal nicht ganz einfach genau das zu finden, was man sucht, wenn man nicht weiß wonach man genau sucht.

Danke für Deine Infos face-smile