С точки зрения контроллера домена, нет никакой разницы между кем - то, глядя на объекты AD с помощью Active Directory - пользователи и компьютеры, net user /domainили любой другой инструмент, который просматривает директории. Если вы действительно хотите проверить процесс создания и завершения процесса, см. « Диспетчер задач», в котором показаны запущенные программы. Как узнать, какие из них были завершены?
Тем не менее, вы можете проверить доступ к объекту AD. Сначала настройте политику аудита контроллеров домена ( Конфигурация компьютера → Политики → Параметры Windows → Параметры безопасности → Локальные политики → Политика аудита ) для аудита успешного доступа к службе каталогов. Затем перейдите в ADUC и включите расширенные функции (в разделе View). В каждом подразделении, содержащем пользователей, откройте окно «Свойства» на вкладке «Безопасность». Нажмите кнопку «Дополнительно», затем перейдите на вкладку «Аудит». Там добавить список содержимого (или полный контрольесли хотите) запись, которая относится к каждому. На вкладке Auditing записи не предоставляют доступ; они просто помечают объекты для аудита. Затем любой пользователь, который запускает программу, которая перечисляет эти OU, в конечном итоге добавит событие 4662 (Доступ к службе каталогов) в журнал событий DC со всей соответствующей информацией.
В качестве альтернативы, вы можете создать единую учетную запись пользователя «honeypot», для которой проверяется весь доступ ( Полный контроль ). Так как он net user /domainпросматривает несколько свойств пользователей, которых находит, он запускает аудит.
Дополнительная информация: пошаговое руководство по аудиту AD DS.