我在哪裡可以找到添加到域或從域中斷開/刪除的電腦的事件日誌？

由於我啟動了目錄服務日誌記錄，我想查找有關電腦被添加到域中以及從域中刪除/斷開連接的日誌。

我一直在查看我們的“目錄服務”日誌，但找不到任何顯示有關此資訊的日誌。

在查找最近添加的電腦名稱時，“查找”功能也無法找到任何日誌。

有沒有更聰明的方法來查找這些日誌？

我將列出您關心的事件 ID：

• 事件 ID 4741 - 創建了一個電腦帳戶。
• 事件 ID 4743 - 已刪除電腦帳戶。

為了在事件查看器中查看這些事件 ID（直接登錄到您的域控制器或遠端登錄），您需要為您的域控制器創建一個組策略對象：

Computer Configuration
  -Policies
     -Security Settings
        -Advanced Audit Policy Configuration 
           -Audit Policies
              -Account Management

至少以Success啟用Audit Computer Account Management。我啟用了成功和失敗來跟踪兩者。

此外，這裡有一個關於高級審計策略的不錯的 TechNet 分步指南。 https://technet.microsoft.com/en-us/library/dd408940(v=ws.10).aspx

引用自：https://serverfault.com/questions/848197