Существует возможность настроить аудит Active Directory с целью записи успешных/неудачных событий в журнале службы каталогов.
1. Откройте оснастку Active Directory — Пользователи и компьютеры (Active Directory — Users and Computers). Для этого в меню Пуск (Start) выберите команду Программы > Администрирование > Active Directory — Пользователи и компьютеры (Programs > Administrative Tools > Active Directory — Users and Computers).
2. В меню Вид (View) выберите команду Дополнительные функции (Advanced Features).
3. Раскройте раздел домена, кликните правой кнопкой мыши на контейнере Domain Controllers и выберите в контекстном меню команду Свойства (Properties).
4. Перескочите на вкладку Групповая политика (Group Policy).
5. Выберите параметр Default Domain Controllers Policy и кликните на кнопке Edit.
6. Раскройте раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики (Computer Configuration > Windows Settings > Security Settings > Local Policies).
7. Выберите параметр Политика аудита (Audit Policy).
8. В правой панели будут показаны уровни аудита. Дважды кликните на опции Аудит доступа к службе каталогов (Audit Directory Service Access).
9. Установите соответствующие флажки (Audit successful attempts/Audit failed attempts) и кликните на кнопке OK.
10. Закройте окно Групповая политика (Group Policy).
11. В основном диалоговом окне кликните на кнопке OK.
12. Закройте оснастку Active Directory — Пользователи и компьютеры (Active Directory — Users and Computers).
Для просмотра журнала событий можно использовать оснастку Просмотр событий (Event Viewer). Необходимая информация представлена в журнале безопасности.
Поскольку контроллер домена запрашивает изменения политики каждые пять минут, изменение политики вступит в силу максимум через пять минут. Другие контроллеры домена получат изменения после интервала в пять минут, плюс время, необходимое на репликацию изменений.
Igor Orlov
Есть способ проще – бесплатная утилита NetWrix AD Change Reporter – репортит изменения в AD и Group Policy:
http://www.netwrix.com/active_directory_change_reporting_freeware.html