Hello...
 
je rencontre actuellement quelques problèmes de sécurité sur mon architecture AD : un petit malin a créé un compte utilisateur avec des droits d'administration du domaine, et a triffouillé le mot de passe du compte qui gère le serveur Exchange.  
Notre organisation étant assez grande, plusieurs personnes ont les droits suffisants pour faire ce genre de manipulation...ce qui n'est pas forcément facile à gérer.
 
Je voudrais savoir si il y a un moyen de savoir qui a fait quoi sur des comptes utilisateurs (création/modification, etc.), soit au travers de fichiers logs existants, soit en mettant en place des audits pour tracer les modifications qui auront lieu ultérieurement ??  
 
Merci d'avance...

Alors au travers des fichiers de log je ne vois pas comment retrouver l'information par contre tu devrais mettre en place un audit sur la gestion des comptes (ainsi que sur d'autres choses du genre les échecs de connexions...).
 
Dans la gpo des controlleurs de domaine (si tu veux auditer la gestion des comptes sur le domaine uniquement), dans "Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Stratégie d'audit", active l'audit des succès et des échecs de gestion des comptes.
 
Une page sur les audit de sécurité -> http://www.microsoft.com/france/te [...] mod50.mspx

Je vais regarder ça merci. Par contre, est-ce que tu sais sur quelle machine vont se stocker les résultats d'audit ? Sur le contrôleur de domaine où est effectuée l'opération peut-être ?

Exactement, sur chaque dc tu ouvres l'observateur d'évènement et dans le journal d'audit tu trouvera les actions réalisées sur ce dc  

Oki. Je regarderai si il n'y a pas déjà des traces, et je mettrai en place les audits manquants.