¿Windows registra cuando se crea una cuenta de usuario local?

Question

¿Cómo puedo saber quién creó un usuario?

Busque el ID de evento 4720: se creó una cuenta de usuario:

4720: se creó una cuenta de usuario

El usuario identificado por Asunto: creó el usuario identificado por Nueva Cuenta:.

Los atributos muestran algunas de las propiedades que se establecieron en el momento en que se creó la cuenta. La cuenta de aviso está inicialmente deshabilitada.

Este evento se registra tanto para cuentas SAM locales como para cuentas de dominio.

Verá una serie de otros eventos de Administración de cuentas de usuario después de este evento a medida que se eliminan las propiedades restantes, se establece la contraseña y finalmente se habilita la cuenta.

Sujeto:

El usuario y la sesión de inicio de sesión que realizó la acción.

ID de seguridad: el SID de la cuenta.

Nombre de cuenta: el nombre de inicio de sesión de la cuenta.

Dominio de la cuenta: el dominio o, en el caso de cuentas locales, el nombre de la computadora.

El ID de inicio de sesión es un número semiúnico (único entre reinicios) que identifica la sesión de inicio de sesión. El ID de inicio de sesión le permite realizar una correlación inversa con el evento de inicio de sesión (4624), así como con otros eventos registrados durante la misma sesión de inicio de sesión.

Consulte el enlace de origen a continuación para obtener una lista completa de categorías y subcategorías del evento.

Fuente4720: se creó una cuenta de usuario

¿Cómo puedo saber quién agregó un usuario al grupo local de administradores?

Busque el ID de evento 4732: se agregó un miembro a un grupo local con seguridad habilitada:

4732: Se agregó un miembro a un grupo local con seguridad habilitada

El usuario en Asunto: agregó el usuario/grupo/computadora en Miembro: al grupo Local de seguridad en Grupo:.

Este evento se registra en los controladores de dominio para los grupos locales de dominio de Active Directory y en la computadora miembro de los grupos SAM locales. Puede determinar si el grupo es un dominio o un grupo SAM comparando Dominio de grupo: con el nombre de Computadora:. Si coinciden tienes un grupo SAM, si difieren tienes un grupo de dominio.

Directorio Activo

En Usuarios y Computadoras de Active Directory, los grupos "Seguridad habilitada" se denominan simplemente grupos de seguridad. AD tiene 2 tipos de grupos: Seguridad y Distribución. Los grupos de distribución (seguridad deshabilitada) son para listas de distribución en Exchange y no se les pueden asignar permisos ni derechos. Los grupos de seguridad (seguridad habilitada) se pueden utilizar para permisos, derechos y como listas de distribución. Un grupo local de dominio significa que al grupo solo se le puede otorgar acceso a objetos dentro de su dominio, pero puede tener miembros de cualquier dominio confiable.

SAM locales

Todos los grupos son grupos de seguridad en el SAM de la computadora. A los grupos SAM locales solo se les puede otorgar acceso a objetos en la computadora local, pero pueden tener miembros del SAM local y de cualquier dominio confiable.

Sujeto:

El usuario y la sesión de inicio de sesión que realizó la acción.

ID de seguridad: el SID de la cuenta.

Nombre de cuenta: el nombre de inicio de sesión de la cuenta.

Dominio de la cuenta: el dominio o, en el caso de cuentas locales, el nombre de la computadora.

El ID de inicio de sesión es un número semiúnico (único entre reinicios) que identifica la sesión de inicio de sesión. El ID de inicio de sesión le permite realizar una correlación inversa con el evento de inicio de sesión (4624), así como con otros eventos registrados durante la misma sesión de inicio de sesión.

Consulte el enlace de origen a continuación para obtener una lista completa de categorías y subcategorías del evento.

Fuente4732: Se agregó un miembro a un grupo local con seguridad habilitada

Otras lecturas

Eventos del registro de seguridad de Windows

Answer 1

¿Cómo puedo saber quién creó un usuario?

Busque el ID de evento 4720: se creó una cuenta de usuario:

4720: se creó una cuenta de usuario

El usuario identificado por Asunto: creó el usuario identificado por Nueva Cuenta:.

Los atributos muestran algunas de las propiedades que se establecieron en el momento en que se creó la cuenta. La cuenta de aviso está inicialmente deshabilitada.

Este evento se registra tanto para cuentas SAM locales como para cuentas de dominio.

Verá una serie de otros eventos de Administración de cuentas de usuario después de este evento a medida que se eliminan las propiedades restantes, se establece la contraseña y finalmente se habilita la cuenta.

Sujeto:

El usuario y la sesión de inicio de sesión que realizó la acción.

ID de seguridad: el SID de la cuenta.

Nombre de cuenta: el nombre de inicio de sesión de la cuenta.

Dominio de la cuenta: el dominio o, en el caso de cuentas locales, el nombre de la computadora.

El ID de inicio de sesión es un número semiúnico (único entre reinicios) que identifica la sesión de inicio de sesión. El ID de inicio de sesión le permite realizar una correlación inversa con el evento de inicio de sesión (4624), así como con otros eventos registrados durante la misma sesión de inicio de sesión.

Consulte el enlace de origen a continuación para obtener una lista completa de categorías y subcategorías del evento.

Fuente4720: se creó una cuenta de usuario

¿Cómo puedo saber quién agregó un usuario al grupo local de administradores?

Busque el ID de evento 4732: se agregó un miembro a un grupo local con seguridad habilitada:

4732: Se agregó un miembro a un grupo local con seguridad habilitada

El usuario en Asunto: agregó el usuario/grupo/computadora en Miembro: al grupo Local de seguridad en Grupo:.

Este evento se registra en los controladores de dominio para los grupos locales de dominio de Active Directory y en la computadora miembro de los grupos SAM locales. Puede determinar si el grupo es un dominio o un grupo SAM comparando Dominio de grupo: con el nombre de Computadora:. Si coinciden tienes un grupo SAM, si difieren tienes un grupo de dominio.

Directorio Activo

En Usuarios y Computadoras de Active Directory, los grupos "Seguridad habilitada" se denominan simplemente grupos de seguridad. AD tiene 2 tipos de grupos: Seguridad y Distribución. Los grupos de distribución (seguridad deshabilitada) son para listas de distribución en Exchange y no se les pueden asignar permisos ni derechos. Los grupos de seguridad (seguridad habilitada) se pueden utilizar para permisos, derechos y como listas de distribución. Un grupo local de dominio significa que al grupo solo se le puede otorgar acceso a objetos dentro de su dominio, pero puede tener miembros de cualquier dominio confiable.

SAM locales

Todos los grupos son grupos de seguridad en el SAM de la computadora. A los grupos SAM locales solo se les puede otorgar acceso a objetos en la computadora local, pero pueden tener miembros del SAM local y de cualquier dominio confiable.

Sujeto:

El usuario y la sesión de inicio de sesión que realizó la acción.

ID de seguridad: el SID de la cuenta.

Nombre de cuenta: el nombre de inicio de sesión de la cuenta.

Dominio de la cuenta: el dominio o, en el caso de cuentas locales, el nombre de la computadora.

El ID de inicio de sesión es un número semiúnico (único entre reinicios) que identifica la sesión de inicio de sesión. El ID de inicio de sesión le permite realizar una correlación inversa con el evento de inicio de sesión (4624), así como con otros eventos registrados durante la misma sesión de inicio de sesión.

Consulte el enlace de origen a continuación para obtener una lista completa de categorías y subcategorías del evento.

Fuente4732: Se agregó un miembro a un grupo local con seguridad habilitada

Otras lecturas

Eventos del registro de seguridad de Windows

¿Windows registra cuando se crea una cuenta de usuario local?

Respuesta1

¿Cómo puedo saber quién creó un usuario?

¿Cómo puedo saber quién agregó un usuario al grupo local de administradores?

Otras lecturas

información relacionada