Editez la stratégie du domaine par défaut
N'utilisez plus Local Policies>Audit Policy mais Advanced Audit Policy Configuration>Audit Policies
Comme indiqué sur
https://technet.microsoft.com/fr-fr/library/dd408940%28v=ws.10%29.aspx
Activez le paramètre
Audit : force les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) à se substituer aux paramètres de catégorie de stratégie d’audit
Activez ces paramètres pour auditer ce qui se passe sur les groupes et comptes
En Français cela donne ceci :
Faites une mise à jour de la stratégie via la commande
Gpupdate /force
Maintenant pour l'exemple on supprime ce compte
On retrouve bien la trace de l'effacement dans le journal de sécurité de l'AD
Si par la suite vous voulez déclencher une tâche planifiée sur les modifications de comptes et groupes, dans les event d'une tâche, sélectionnez comme montré ici
La même en Français
Ce qui donnera ceci :
La requete xml correspondante est :
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 13824 or Task = 13826 )]]</Select>
</Query>
</QueryList>
Lien vers le fichier : cliquez ici
Voici des numéros d'eventid et leur signification
EventID | Signification |
---|---|
4728 | Ajout d'un user dans un groupe |
4729 | Delete d'un user d'un groupe |
Exemple dans un log de sécurité du retrait d'un user d'un groupe