我想知道,有没有办法知道,AD用户帐户已重命名或移动到域内的其他位置? 我知道有一种方法可以使用 DirSync 功能跟踪AD对象中发生的更改,但它不会检测重命名或移动操作。 DirSync显示重命名或移动对象的新DN,我们无法预测它是移动还是重命名操作。 是否有任何属性告诉重命名/移动用户的旧 DN ?或是否有单独的LDAP控件(如删除的对象1.2.840.113556.1.4.417)来检测重命名操作?
谢谢,
答案 0 :(得分:1)
您需要为域启用审核日志记录,并将其配置为审核AD访问事件:
http://support.microsoft.com/kb/814595
事件很好地显示在DC上的Security Eventl日志中,您需要确保分配足够的日志空间以保留事件,以便能够审核或定期保存事件日志(或仅AD访问事件)供以后查看。
答案 1 :(得分:0)
不幸的是,我不相信还有另一种直接的方法来检测移动和重命名,而不是审计。
dyrSync控件可能有用:http://support.microsoft.com/kb/891995
但是,就我所知,你需要跟踪并检查FDN或父母的变化,以检测移动和重命名。
-Jim