[보안감사] 누가 사용자 계정을 삭제 하였나? - AD 환경에서 계정 삭제 감사(Audit) 방법

"AD 환경에서 누군가 계정을 삭제 했다 누가 언제 삭제 했는지 알고 싶다"를 가지고 문의가 종종 들어 옵니다.

그래서 간단하게 아래와 같이 정리해 보았습니다.

*시나리오는 Test라는 계정이 삭제된것으로 하였습니다.

1. Default domain policy에서 아래 같이 계정 관리 감사, 개체 액세스 감사, 디렉터리 서비스 액세스 감사 를 설정 합니다ㅏ.

clip_image002

2. GPUPDATE /force를 실행합니다.

3. 계정이 삭제 되면 '이벤트 뷰어 > 보안'를 열어 아래와 같은 이벤트를 확인 합니다.

image

삭제된 계정 확인은 원본: Security, 범주: 계정 관리, 이벤트 ID: 640 의 설명 부분에 삭제된 계정과 호출자 등의 정보를 확인 할 수 있습니다. 설명 부분의 속성을 보면 Delete라고 되어 있습니다.