一、AD執行gpedit.msc
電腦設定 > WINDOWS設定 > 安全性設定 > 本機原則 > 稽核原則 > 稽核登入事件
勾選 成功and失敗 > 確定。

有人登入AD時
可以在事件檢視器 > Windows紀錄 > 安全性紀錄 查詢。
事件識別碼: 4624 ，可以看到登入者的名稱、IP、電腦名稱。

二、AD執行Regedit到以下路徑:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
把2 Security Events 數值改成3。
有人進行使用者變更時可以在事件檢視器 > Windows紀錄 > 安全性紀錄 查詢。

結果範例

1. 勾選了密碼永久有效:

已變更使用者帳戶。 事件識別碼:4738

主旨:
	安全性識別碼:		DOMAIN\administrator
	帳戶名稱:		administrator
	帳戶網域:		DOMAIN
	登入識別碼:		0x77175

目標帳戶:
	安全性識別碼:		DOMAIN\USER01
	帳戶名稱:		USER01
	帳戶網域:		DOMAIN

變更的屬性:
	SAM 帳戶名稱:	-
	顯示名稱:		-
	使用者主體名稱:	-
	主目錄:		-
	主磁碟:		-
	指令檔路徑:		-
	設定檔路徑:		-
	使用者工作站:	-
	最近的密碼設定:	-
	帳戶有效期:		-
	主要群組識別碼:	-
	允許委派於:	-
	舊的 UAC 數值:		0x10
	新的 UAC 數值:		0x210
	使用者帳戶控制:	
		'密碼不會到期' - 啟用
	使用者參數:	-
	SID 歷程記錄:		-
	登入時段:		-

其他資訊:
	特殊權限:		-

2. 突然增加某個群組

已新增成員到安全性啟用萬用群組。 事件識別碼:4756

主旨:
	安全性識別碼:		DOMAIN\administrator
	帳戶名稱:		administrator
	帳戶網域:		DOMAIN
	登入識別碼:		0x77175

成員:
	安全性識別碼:		DOMAIN\USER01
	帳戶名稱:		CN=USER01,OU=USER,DC=domain,DC=com

群組:
	安全性識別碼:		DOMAIN\administrators
	帳戶名稱:		admin
	帳戶網域:		DOMAIN

其他資訊:
	特殊權限:		
```-

我抓LOG的作法跟1樓A大的一樣，另外照你的樣子，感覺應該是大家想使用都可以使用

建議您在使用管理上做些更改

1. AD主機應放在有門禁之地方，避免不受授權之人直接使用
2. 應限制此台遠端連線功能(或者只開放給授權人士)，避免不受授權之人透過網路登入
3. 控管能夠登入此主機的帳號，確保只有授權人士可以登入
4. 建議更動時可以走申請的方式，向主管申請更動後才能更動，保留變更的實體紀錄

還有一個簡單的方法, 有一套產品叫 adaudit , 需付費的, 但有一個月的試用期
安裝設定超簡單, 所以你可以用快照,每個月一次.. 就...自行體會

使用上非常方便, 可以完全達到你的需求,還可以產生每月定期報表

感覺大家都是網域管理者，是否考慮 :

1. 控管網域 domain admins group 裡的user.
   2.本機 administrators group 裡的user.