「Net User / domain」コマンドが使用されたことをどのように知ることができますか？

ドメインコントローラーの観点からは、Active Directoryユーザーとコンピューター、Net User /domain、またはその他のツールを使用してADオブジェクトを見ている人に違いはありません。それはディレクトリを調べます。プロセスの作成と終了を本当に監査したい場合は、 を参照してください。タスクマネージャーは実行中のプログラムを表示します-終了したプログラムを確認するにはどうすればよいですか？

そうは言っても、ADオブジェクトへのアクセスを監査できます。まず、ドメインコントローラーの監査ポリシーを調整します（コンピューターの構成→ポリシー →Windowsの設定→セキュリティの設定→ローカルポリシー→監査ポリシー）は、ディレクトリサービスへのアクセスの成功を監査します。次に、ADUCに移動し、高度な機能を有効にします（[表示]の下）。ユーザーを含む各OUで、[プロパティ]ウィンドウの[セキュリティ]タブを開きます。 [詳細設定]ボタンをクリックしてから、[監査]タブに切り替えます。そこで、リストの内容（またはフルコントロール必要に応じて）を追加します全員に適用されるエントリ。 [監査]タブでは、エントリはアクセスを許可しません。オブジェクトを監査対象としてマークするだけです。次に、これらのOUを列挙するプログラムを実行するユーザーは、すべての関連情報と共にイベント4662（ディレクトリサービスアクセス）をDCのイベントログに追加することになります。

または、すべてのアクセス（フルコントロール）が監査される単一の「ハニーポット」ユーザーアカウントを作成することもできます。 Net User /domainは、見つかったユーザーのいくつかのプロパティを調べるため、監査がトリガーされます。

さらに読む： AD DS監査ステップバイステップガイド