审核账号管理事件

　　在默认状态下，即使我们修改了某个系统用户账号的名称，也不会从系统的事件查看器列表中看到对应的操作记录，这是什么原因呢?其实很简单，这是 因为Windows Server 2008系统在默认状态下并没有自动记录用户账号被修改的操作行为，我们必须修改Windows Server 2008系统的审核策略，才能让事件查看器记录用户账号被修改的事件。在对账号管理事件进行审核时，我们可以按照如下步骤进行操作：

　　首先以系统管理员身份登录进Windows Server 2008系统，单击该系统桌面中的“开始”/“运行”命令，在弹出的系统运行文本框中输入字符串命令“gpedit.msc”，单击“确定”按钮后，进入系统组策略编辑窗口;

　　其次在该编辑窗口的左侧显示窗格中，将鼠标定位于“计算机配置”节点选项上，再依次点选该节点下面的“Windows设置”/“安全设置”/“ 本地策略”/“审核策略”子项，在“审核策略”子项下面找到目标组策略选项“审核账户管理”，并用鼠标右键单击该选项，从弹出的快捷菜单中选择“属性”命 令，打开如图1所示的目标组策略属性设置窗口;

　　在该属性设置窗口中的“本地安全设置”标签页面中，将“成功”复选项选中，再单击“确定”按钮，那样一来Windows Server 2008系统就能对成功修改用户账号事件进行审核了。同样地，我们也可以对修改用户账号失败事件进行审核，让事件查看器程序也自动记录修改用户账号失败的 事件。
创建修改账号事件

　　无论我们绑定什么任务到特定事件中，都需要先触发一个操作事件，换句话说我们必须先将修改用户账号事件添加到事件查看器的列表中，之后才能将自 动报警任务绑定到修改用户账号事件上。由于在上面已经成功启用了审核账户管理功能，只要我们手工修改系统中的某个用户账号，那么系统就会自动对修改账号事 件进行审核，并且将审核结果记录在事件查看器中了。下面就是具体的实现步骤：

　　首先以系统管理员身份登录进Windows Server 2008系统，依次单击“开始”/“程序”/“管理工具”/“服务器管理器”命令，在弹出的服务器管理器窗口中，依次展开左侧显示区域中的“配置”/“本地用户和组”/“用户”分支选项;

　　其次在对应“用户”分支选项的右侧列表区域中，用鼠标右键单击某个用户账号名称，从弹出的快捷菜单中执行“属性”命令，打开目标用户账号的属性设置对话框，在该对话框中我们可以任意修改目标用户账号的属性信息，修改完毕后单击“确定”按钮关闭用户账号属性设置对话框;

　　接着在服务器管理器窗口的左侧显示区域中，依次展开“诊断”/“Windows日志”/“安全”分支选项，在对应“安全”分支选项的右侧显示区 域中，我们能够非常清楚地看到与系统安全有关的事件记录，通过对日期和时间序列进行排序，就能快速地找到先前修改用户账号的事件了。