用户组更改事件

本文关键字:事件 用户组 | 更新日期: 2023-09-27 18:36:01

有没有办法知道用户组成员列表何时更改?我尝试使用WMI查询,例如:

SELECT * 
FROM __InstanceModificationEvent WITHIN 5 
WHERE TargetInstance ISA 'Win32_Group'

但它不起作用(事件永远不会触发)。也许在更改用户组成员时会触发Win32事件?

更新 1

__InstanceOperationEvent也不起作用。当应用组策略并从本地计算机上的用户组添加/删除用户以显示此更改时,我需要获取事件。

用户组更改事件

似乎__InstanceModificationEvent事件不是此类中的触发器,但您可以使用这些其他事件。

若要检测更改,请使用 __InstanceOperationEvent 事件,

Select * From __InstanceOperationEvent Within 1 Where TargetInstance ISA 'Win32_Group'

若要检测组的创建,请使用 __InstanceCreationEvent 事件,

Select * From __InstanceCreationEvent Within 1 Where TargetInstance ISA 'Win32_Group'

要检测组的删除,请使用__InstanceDeletionEvent事件

Select * From __InstanceDeletionEvent Within 1 Where TargetInstance ISA 'Win32_Group'

试试这个:

SELECT * FROM __InstanceOperationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Group';
相关文章: