ID do evento para GPOs modificados

4

Eu tenho que saber, quem (usersid ou loginname) alterou um GPO especificado para uma OU especificada no Active Directory. Tendo em conta que as nossas definições de auditoria incluem isto, qual seria o ID de evento correto a procurar?

    
por Hinek 22.02.2010 / 10:07

2 respostas

4

No Windows Server 2008, é a identificação de evento 5136 ( Alterações no Serviço de Diretório ). Veja também IDs de evento 5137 (criar), 5138 (desfazer exclusão), 5130 (mover). A identificação de evento 4662 contém o evento de auditoria de estilo antigo (veja abaixo).

No Windows 2000 Server e no Windows Server 2003:

[T]he policy Audit directory service access was the only auditing control available for Active Directory. The events that were generated by this control did not show the old and new values of any modifications. This setting generated audit events in the Security log with the ID number 566. In Windows Server 2008, the audit policy subcategory Directory Service Access still generates the same events, but the event ID number is changed to 4662.

    
por 22.02.2010 / 10:43
0

podemos ver este artigo link saber sobre o evento ID 5136 .. explica como mapear valor antigo e novo evento de valor

    
por 27.11.2013 / 14:22