查找用户账户禁用
在工作中,有时候我们需要查看用户是什么时候被禁用或者启用的。通常在域控制器上的安全日志中查找就可以了。但是如果域控比较多的话,一台台去查找就很费时间了。如果能够定位到是从哪个域控上修改的,然后直接去查日志就会方便很多。由于账户启用和禁用会反映在userAccountControl这个属性上。所以,我们只要检查这个属性是从哪里复制过来的就可以了。使用如下命令检查:
repadmin /showobjmeta hq-dc01 CN=user,OU=temp,DC=domain,DC=com | findstr userAccountControl
这个命令会从hq-dc01这台域控上查找属性的修改来源的域控和时间。然后再针对性的去查日志就可以了。
账户启用事件ID 4722,账户禁用事件ID 4725 https://www.cnblogs.com/qishine/p/16588616.html
如果没有对应的日志,就是审核策略没有开启,需要先开启账户审核后对应的日志才会被记录。