审核帐户管理
确定是否要审核设备上的帐户管理的每个事件。
帐户管理事件的示例包括:
创建、更改或删除用户帐户或组。
重命名、禁用或启用用户帐户。
设置或更改密码。
如果定义此策略设置,可以指定是否要审核成功、审核失败,或根本不审核事件类型。在任何帐户管理事件成功时,成功审核会生成一个审核项。在任何帐户管理事件失败时,失败审核会生成一个审核项。若要将此值设置为“无审核”,请在此策略设置的“属性”****对话框中,选中“定义这些策略设置”复选框,然后清除“成功”和“失败”****复选框。
默认值:
成功(用于域控制器)。
无审核(用于成员服务器)。
配置此审核设置
可以通过打开“计算机配置”\“Windows 设置”\“安全设置”\“本地策略”\“审核策略”下的相应策略来配置此安全设置。
| 帐户管理事件 | 描述 |
|---|---|
| 624 | 用户帐户已创建。 |
| 627 | 用户密码已更改。 |
| 628 | 用户密码已设置。 |
| 630 | 用户帐户已删除。 |
| 631 | 全局组已创建。 |
| 632 | 成员已添加到全局组。 |
| 633 | 成员已从全局组中删除。 |
| 634 | 全局组已删除。 |
| 635 | 新的本地组已创建。 |
| 636 | 成员已添加到本地组。 |
| 637 | 成员已从本地组中删除。 |
| 638 | 本地组已删除。 |
| 639 | 本地组帐户已更改。 |
| 641 | 全局组帐户已更改。 |
| 642 | 用户帐户已更改 |
| 643 | 域策略已修改。 |
| 644 | 用户帐户已自动锁定。 |
| 645 | 计算机帐户已创建。 |
| 646 | 计算机帐户已更改。 |
| 647 | 计算机帐户已删除。 |
| 648 | 禁用了安全性的本地安全组已创建。注意 正式名称中的 SECURITY_DISABLED 意味着此组不能用于授予访问权限检查的权限。
|
| 649 | 禁用了安全性的本地安全组已更改。 |
| 650 | 成员已添加到禁用了安全性的本地安全组。 |
| 651 | 成员已从禁用了安全性的本地安全组中删除。 |
| 652 | 禁用了安全性的本地组已删除。 |
| 653 | 禁用了安全性的全局组已创建。 |
| 645 | 禁用了安全性的全局组已更改。 |
| 655 | 成员已添加到禁用了安全性的全局组。 |
| 656 | 成员已从禁用了安全性的全局组中删除。 |
| 657 | 禁用了安全性的全局组已删除。 |
| 658 | 启用了安全性的通用组已创建。 |
| 659 | 启用了安全性的通用组已更改。 |
| 660 | 成员已添加到启用了安全性的通用组。 |
| 661 | 成员已从启用了安全性的通用组中删除。 |
| 662 | 启用了安全性的通用组已删除。 |
| 663 | 禁用了安全性的通用组已创建。 |
| 664 | 禁用了安全性的通用组已更改。 |
| 665 | 成员已添加到禁用了安全性的通用组。 |
| 666 | 成员已从禁用了安全性的通用组中删除。 |
| 667 | 禁用了安全性的通用组已删除。 |
| 668 | 组类型已更改。 |
| 684 | 设置管理组的成员的安全描述符。 |
| 685 | 设置管理组的成员的安全描述符。注意 在域控制器上,每隔 60 分钟就会有一个后台线程搜索管理组(例如域、企业和架构管理员)的所有成员,并对这些成员应用固定的安全描述符。会记录此事件。
|