查找用户账户禁用

在工作中，有时候我们需要查看用户是什么时候被禁用或者启用的。通常在域控制器上的安全日志中查找就可以了。但是如果域控比较多的话，一台台去查找就很费时间了。如果能够定位到是从哪个域控上修改的，然后直接去查日志就会方便很多。由于账户启用和禁用会反映在userAccountControl这个属性上。所以，我们只要检查这个属性是从哪里复制过来的就可以了。使用如下命令检查：

repadmin /showobjmeta hq-dc01 CN=user,OU=temp,DC=domain,DC=com | findstr userAccountControl

这个命令会从hq-dc01这台域控上查找属性的修改来源的域控和时间。然后再针对性的去查日志就可以了。

账户启用事件ID 4722，账户禁用事件ID 4725 https://www.cnblogs.com/qishine/p/16588616.html

如果没有对应的日志，就是审核策略没有开启，需要先开启账户审核后对应的日志才会被记录。