[보안감사] 누가 사용자 계정을 삭제 하였나? – AD 환경에서 계정 삭제 감사(Audit) 방법


“AD 환경에서 누군가 계정을 삭제 했다 누가 언제 삭제 했는지 알고 싶다”를 가지고 문의가 종종 들어 옵니다.
그래서 간단하게 아래와 같이 정리해 보았습니다.

*시나리오는 Test라는 계정이 삭제된것으로 하였습니다.

1. Default domain policy에서 아래 같이 계정 관리 감사, 개체 액세스 감사, 디렉터리 서비스 액세스 감사 를 설정 합니다ㅏ.
clip_image002
2. GPUPDATE /force를 실행합니다.
3. 계정이 삭제 되면 ‘이벤트 뷰어 > 보안’를 열어 아래와 같은 이벤트를 확인 합니다.
image
삭제된 계정 확인은 원본: Security, 범주: 계정 관리, 이벤트 ID: 640 의 설명 부분에 삭제된 계정과 호출자 등의 정보를 확인 할 수 있습니다. 설명 부분의 속성을 보면 Delete라고 되어 있습니다.
Comments (4)

  1. Anonymous says:

    지난주 Workshop으로 남이섬을 다녀 왔는데 벌써 봄기운이 느껴지더군요. 추위를 잘타는 체질이라 따뜻함을 한껏 느끼고 돌아 왔습니다. ^^ 이번 포스트는 누군가 중요 파일을 삭제

  2. Anonymous says:

    지난주 Workshop으로 남이섬을 다녀 왔는데 벌써 봄기운이 느껴지더군요. 추위를 잘타는 체질이라 따뜻함을 한껏 느끼고 돌아 왔습니다. ^^ 이번 포스트는 누군가 중요 파일을 삭제

  3. Anonymous says:

    지난주 Workshop으로 남이섬을 다녀 왔는데 벌써 봄기운이 느껴지더군요. 추위를 잘타는 체질이라 따뜻함을 한껏 느끼고 돌아 왔습니다. ^^ 이번 포스트는 누군가 중요 파일을 삭제

  4. Anonymous says:

    지난주 Workshop으로 남이섬을 다녀 왔는데 벌써 봄기운이 느껴지더군요. 추위를 잘타는 체질이라 따뜻함을 한껏 느끼고 돌아 왔습니다. ^^ 이번 포스트는 누군가 중요 파일을 삭제

Skip to main content