Eu ativei o gerenciamento de contas de auditoria para monitorar a exclusão de contas de usuário do Active Directory. Posso ver esses eventos no log de segurança no controlador de domínio? Temos dois controladores de domínio - o evento estará em ambos os registros ou será necessário verificar as duas máquinas? Qual categoria devo procurar?
Eu pergunto porque tenho um problema recorrente em que uma lista do SharePoint para de receber email. Isso ocorre porque algum usuário / processo / gremlin está excluindo a conta de alias de email no Active Directory de vez em quando. Isso acaba de acontecer novamente e eu gostaria de ver o evento gravado em um log para que eu possa identificar o usuário / processo / gremlin.
Editar
Este é um contato, não um usuário. Eu não sei se isso faz diferença ...
Os eventos de segurança são exibidos no registro do controlador de domínio que foi usado para processar a solicitação, de modo que cada DC foi usado para verificar os privilégios das contas. Então você precisa checar ambos os DC's.
Você pode usar a ferramenta gratuita Pente de eventos , incluída no servidor de recursos do servidor 2003 , isso pode reunir eventos específicos de vários computadores e exibi-los em um só lugar .
Você precisará verificar os dois. Você está procurando a ID 630 do evento na categoria Gerenciamento de conta. Aqui está a referência quanto ao formato do registro do evento, caso você esteja analisando isso automaticamente por meio de um script:
Tags active-directory