AD用户操作追溯

在一大型企业中，由其是国字号开头的企业，做为一个IT运维管理员，需要注意的事项非常多，今天我来给大写讨论一下安全，例如，在企业中你的帐户被无理由删除或无理由取消、增加某些权限，而你却浑然不者，当安全部门告者你如如时，IT管理员可是遇到了麻烦，她要帮你追溯你帐户指定日期都做了哪些操作，那我们来看看如何追溯吧。

环境背景：

全国各地N台DC，父子域架构

客户要求：

查询test域帐户2个月内都做了哪些操作且在哪台DC更改的

AD用户操作追溯前提条件：

DC域控制器开启安全审核日志，根据命令行追溯用户结果，查询审核日志得到最终结果。

实现的方式：

#命令格式：**

repadmin /showobjmeta DC Server “域用户CN路径”

注：DC Server可以是森中任何一台DC域控制器，但通过此命令列出的结果是用户曾经在任何一台DC更改的记录列表

命令示例：

repadmin /showobjmeta dc01 "CN=test,OU=智能卡,OU=信息技术,DC=contoson,DC=com >d:\test.txt