itshark
Goto Top

Domain Controller Eventlog

Moin zusammen,

ich bin auf der Suche nach einem Eintrag im Eventlog und werde nicht fündig.
Wo finde ich die Info wer (User) einen Computer im AD wieder aktiviert hat (war vorher deaktiviert)?

Muss ich dazu genau auf dem DC suchen auf dem die Aktivierung durchgeführt wurde oder kann ich das auf jedem DC finden (70Stk. im Unternehmen)?
Wenn ja wonach muss ich genau schauen?

Viele Grüße,
Olli

Content-Key: 586220

Url: https://administrator.de/contentid/586220

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: Hubert.N
Hubert.N 09.07.2020 um 18:11:16 Uhr
Goto Top
Moin face-smile

Der Eintrag wird auf dem Domaincontroller im Security-Log geschrieben. Bei 70 DCs könnte das tatsächlich ein wenig schwierig werden.

Das Aktivieren eines Computerkontos wird mit Event 4722 im Log eingetragen. Das Deaktivieren mit 4725. (und ich ich kann es mir gerade nicht verkneifen, anzumerken, dass Du das auch ganz schnell durch einen kleinen Selbstversuch hättest herausfinden können...)

und wenn Du es ansonsten wirklich wissen willst, dann hilft Dir Google und wirft z.B. das aus: https://blog.ipswitch.com/de/so-k%C3%B6nnen-sie-windows-ereignisprotokol ...

Gruß
Mitglied: emeriks
emeriks 10.07.2020 aktualisiert um 10:44:54 Uhr
Goto Top
Hi,
Muss ich dazu genau auf dem DC suchen auf dem die Aktivierung durchgeführt wurde
ja
oder kann ich das auf jedem DC finden
nein
Wenn ja wonach muss ich genau schauen?
Log "Sicherheit"

E.
Mitglied: ITShark
ITShark 10.07.2020 um 14:33:19 Uhr
Goto Top
Moin Hubert,

danke deine Infos haben mir sehr geholfen. Gegooglet habe ich, allerdings ist es manchmal nicht ganz einfach genau das zu finden, was man sucht, wenn man nicht weiß wonach man genau sucht.

Danke für Deine Infos face-smile