Protokolliert Windows, wenn ein lokales Benutzerkonto erstellt wird?

Question

Wie finde ich heraus, wer einen Benutzer erstellt hat?

Suchen Sie nach der Ereignis-ID 4720: Ein Benutzerkonto wurde erstellt:

4720: Ein Benutzerkonto wurde erstellt

Der durch „Betreff:“ identifizierte Benutzer hat den durch „Neues Konto:“ identifizierten Benutzer erstellt.

Attribute zeigen einige der Eigenschaften, die bei der Erstellung des Kontos festgelegt wurden. Beachten Sie, dass das Konto zunächst deaktiviert ist.

Dieses Ereignis wird sowohl für lokale SAM-Konten als auch für Domänenkonten protokolliert.

Nach diesem Ereignis werden Sie eine Reihe weiterer Ereignisse der Benutzerkontenverwaltung sehen, während die verbleibenden Eigenschaften gelöscht, das Kennwort festgelegt und das Konto schließlich aktiviert wird.

Thema:

Der Benutzer und die Anmeldesitzung, die die Aktion ausgeführt haben.

Sicherheits-ID: Die SID des Kontos.

Kontoname: Der Anmeldename des Kontos.

Kontodomäne: Die Domäne oder – im Fall von lokalen Konten – der Computername.

Die Anmelde-ID ist eine halb eindeutige (zwischen Neustarts eindeutige) Nummer, die die Anmeldesitzung identifiziert. Die Anmelde-ID ermöglicht eine Rückbeziehung zum Anmeldeereignis (4624) sowie zu anderen Ereignissen, die während derselben Anmeldesitzung protokolliert wurden.

Eine vollständige Liste der Kategorien und Unterkategorien der Veranstaltung finden Sie unter dem Quellenlink unten.

Quelle4720: Ein Benutzerkonto wurde erstellt

Wie finde ich heraus, wer einen Benutzer zur lokalen Administratorgruppe hinzugefügt hat?

Suchen Sie nach der Ereignis-ID 4732: Ein Mitglied wurde zu einer lokalen Gruppe mit aktivierter Sicherheit hinzugefügt:

4732: Ein Mitglied wurde zu einer lokalen Gruppe mit aktivierter Sicherheit hinzugefügt.

Der Benutzer im Betreff: hat den Benutzer/die Gruppe/den Computer in Mitglied: zur lokalen Sicherheitsgruppe in Gruppe: hinzugefügt.

Dieses Ereignis wird auf Domänencontrollern für lokale Active Directory-Domänengruppen und Mitgliedscomputern für lokale SAM-Gruppen protokolliert. Sie können feststellen, ob es sich bei der Gruppe um eine Domänen- oder SAM-Gruppe handelt, indem Sie „Gruppendomäne:“ mit dem Namen „Computer:“ vergleichen. Wenn sie übereinstimmen, handelt es sich um eine SAM-Gruppe, wenn sie sich unterscheiden, handelt es sich um eine Domänengruppe.

Active Directory

In Active Directory-Benutzern und -Computern werden „sicherheitsaktivierte“ Gruppen einfach als Sicherheitsgruppen bezeichnet. AD hat zwei Arten von Gruppen: Sicherheit und Verteilung. Verteilungsgruppen (Sicherheit deaktiviert) sind für Verteilerlisten in Exchange und können keine Berechtigungen oder Rechte zugewiesen bekommen. Sicherheitsgruppen (Sicherheit aktiviert) können für Berechtigungen, Rechte und als Verteilerlisten verwendet werden. Eine domänenlokale Gruppe bedeutet, dass der Gruppe nur Zugriff auf Objekte innerhalb ihrer Domäne gewährt werden kann, sie aber Mitglieder aus jeder vertrauenswürdigen Domäne haben kann.

Lokales SAM

Alle Gruppen sind Sicherheitsgruppen im SAM des Computers. Lokalen SAM-Gruppen kann nur Zugriff auf Objekte auf dem lokalen Computer gewährt werden, sie können jedoch Mitglieder aus dem lokalen SAM und jeder vertrauenswürdigen Domäne haben.

Thema:

Der Benutzer und die Anmeldesitzung, die die Aktion ausgeführt haben.

Sicherheits-ID: Die SID des Kontos.

Kontoname: Der Anmeldename des Kontos.

Kontodomäne: Die Domäne oder – im Fall von lokalen Konten – der Computername.

Die Anmelde-ID ist eine halb eindeutige (zwischen Neustarts eindeutige) Nummer, die die Anmeldesitzung identifiziert. Die Anmelde-ID ermöglicht eine Rückbeziehung zum Anmeldeereignis (4624) sowie zu anderen Ereignissen, die während derselben Anmeldesitzung protokolliert wurden.

Eine vollständige Liste der Kategorien und Unterkategorien der Veranstaltung finden Sie unter dem Quellenlink unten.

Quelle4732: Ein Mitglied wurde zu einer lokalen Gruppe mit aktivierter Sicherheit hinzugefügt.

Weitere Informationen

Ereignisse im Windows-Sicherheitsprotokoll

Answer 1

Wie finde ich heraus, wer einen Benutzer erstellt hat?

Suchen Sie nach der Ereignis-ID 4720: Ein Benutzerkonto wurde erstellt:

4720: Ein Benutzerkonto wurde erstellt

Der durch „Betreff:“ identifizierte Benutzer hat den durch „Neues Konto:“ identifizierten Benutzer erstellt.

Attribute zeigen einige der Eigenschaften, die bei der Erstellung des Kontos festgelegt wurden. Beachten Sie, dass das Konto zunächst deaktiviert ist.

Dieses Ereignis wird sowohl für lokale SAM-Konten als auch für Domänenkonten protokolliert.

Nach diesem Ereignis werden Sie eine Reihe weiterer Ereignisse der Benutzerkontenverwaltung sehen, während die verbleibenden Eigenschaften gelöscht, das Kennwort festgelegt und das Konto schließlich aktiviert wird.

Thema:

Der Benutzer und die Anmeldesitzung, die die Aktion ausgeführt haben.

Sicherheits-ID: Die SID des Kontos.

Kontoname: Der Anmeldename des Kontos.

Kontodomäne: Die Domäne oder – im Fall von lokalen Konten – der Computername.

Die Anmelde-ID ist eine halb eindeutige (zwischen Neustarts eindeutige) Nummer, die die Anmeldesitzung identifiziert. Die Anmelde-ID ermöglicht eine Rückbeziehung zum Anmeldeereignis (4624) sowie zu anderen Ereignissen, die während derselben Anmeldesitzung protokolliert wurden.

Eine vollständige Liste der Kategorien und Unterkategorien der Veranstaltung finden Sie unter dem Quellenlink unten.

Quelle4720: Ein Benutzerkonto wurde erstellt

Wie finde ich heraus, wer einen Benutzer zur lokalen Administratorgruppe hinzugefügt hat?

Suchen Sie nach der Ereignis-ID 4732: Ein Mitglied wurde zu einer lokalen Gruppe mit aktivierter Sicherheit hinzugefügt:

4732: Ein Mitglied wurde zu einer lokalen Gruppe mit aktivierter Sicherheit hinzugefügt.

Der Benutzer im Betreff: hat den Benutzer/die Gruppe/den Computer in Mitglied: zur lokalen Sicherheitsgruppe in Gruppe: hinzugefügt.

Dieses Ereignis wird auf Domänencontrollern für lokale Active Directory-Domänengruppen und Mitgliedscomputern für lokale SAM-Gruppen protokolliert. Sie können feststellen, ob es sich bei der Gruppe um eine Domänen- oder SAM-Gruppe handelt, indem Sie „Gruppendomäne:“ mit dem Namen „Computer:“ vergleichen. Wenn sie übereinstimmen, handelt es sich um eine SAM-Gruppe, wenn sie sich unterscheiden, handelt es sich um eine Domänengruppe.

Active Directory

In Active Directory-Benutzern und -Computern werden „sicherheitsaktivierte“ Gruppen einfach als Sicherheitsgruppen bezeichnet. AD hat zwei Arten von Gruppen: Sicherheit und Verteilung. Verteilungsgruppen (Sicherheit deaktiviert) sind für Verteilerlisten in Exchange und können keine Berechtigungen oder Rechte zugewiesen bekommen. Sicherheitsgruppen (Sicherheit aktiviert) können für Berechtigungen, Rechte und als Verteilerlisten verwendet werden. Eine domänenlokale Gruppe bedeutet, dass der Gruppe nur Zugriff auf Objekte innerhalb ihrer Domäne gewährt werden kann, sie aber Mitglieder aus jeder vertrauenswürdigen Domäne haben kann.

Lokales SAM

Alle Gruppen sind Sicherheitsgruppen im SAM des Computers. Lokalen SAM-Gruppen kann nur Zugriff auf Objekte auf dem lokalen Computer gewährt werden, sie können jedoch Mitglieder aus dem lokalen SAM und jeder vertrauenswürdigen Domäne haben.

Thema:

Der Benutzer und die Anmeldesitzung, die die Aktion ausgeführt haben.

Sicherheits-ID: Die SID des Kontos.

Kontoname: Der Anmeldename des Kontos.

Kontodomäne: Die Domäne oder – im Fall von lokalen Konten – der Computername.

Die Anmelde-ID ist eine halb eindeutige (zwischen Neustarts eindeutige) Nummer, die die Anmeldesitzung identifiziert. Die Anmelde-ID ermöglicht eine Rückbeziehung zum Anmeldeereignis (4624) sowie zu anderen Ereignissen, die während derselben Anmeldesitzung protokolliert wurden.

Eine vollständige Liste der Kategorien und Unterkategorien der Veranstaltung finden Sie unter dem Quellenlink unten.

Quelle4732: Ein Mitglied wurde zu einer lokalen Gruppe mit aktivierter Sicherheit hinzugefügt.

Weitere Informationen

Ereignisse im Windows-Sicherheitsprotokoll

Protokolliert Windows, wenn ein lokales Benutzerkonto erstellt wird?

Antwort1

Wie finde ich heraus, wer einen Benutzer erstellt hat?

Wie finde ich heraus, wer einen Benutzer zur lokalen Administratorgruppe hinzugefügt hat?

Weitere Informationen

verwandte Informationen