บน Microsoft Windows 2012 โดยปรกติจะไม่ทำการบันทึกการเปลี่ยนแปลงต่างๆเกี่ยวกับ Account ขั้นตอนต่อไปนี้จะทำให้เกิดการบันทึกใน Event Log เพื่อให้ Administrator ทราบว่า ใคร เปลี่ยนแปลงอะไร เมื่อไหร่
- ไปที่ Start Menu ค้นหา Group Policy Management
- เลือก
Computer Configuration
Policies
Windows Settings
Security Settings
Local Policies
Audit Policy
จากนั้น Double Click “Audit account management”
- คลิกที่
Define these policy settings
และเลือก Success
แล้วคลิกปุ่ม OK
- จะได้ผลดังนี้
![2559-06-03 10_13_01-windows2012 [Running] - Oracle VM VirtualBox](https://sysadmin.psu.ac.th/wp-content/uploads/2016/06/2559-06-03-10_13_01-windows2012-Running-Oracle-VM-VirtualBox.png)
- เมื่อเปิด Event Viewer > Security Log จะได้ผลดังนี้ เมื่อมีการเปลี่ยนแปลงเกี่ยวกับ Account จะเกิด Task Category “User Account Management” มี Event ID 4738 ดังภาพ
- จะเห็นรายละเอียดว่า ใคร แก้ไข Account Name ใด เมื่อไหร่
![2559-06-03 10_15_23-windows2012 [Running] - Oracle VM VirtualBox](https://sysadmin.psu.ac.th/wp-content/uploads/2016/06/2559-06-03-10_15_23-windows2012-Running-Oracle-VM-VirtualBox.png)
- และแก้ไข Attribute ใด เป็นอะไร
หวังว่าจะเป็นประโยชน์ครับ
Reference:
- https://technet.microsoft.com/en-us/library/cc731607(v=ws.10).aspx
- https://support.microsoft.com/en-us/kb/977519