Recientemente, 3 de mis administradores de Active Directory no pueden iniciar sesión en el servidor AD a través de RDP.
Después de verificar todo, encontramos que estos 3 usuarios se agregaron a un grupo de seguridad llamado "Denegar acceso RDP". Después de eliminar usuarios de este grupo, ahora pueden iniciar sesión.
Solo quiero verificar si hay algún registro que pueda brindarme información sobre quién agregó estos 3 usuarios a este grupo "Denegar acceso RDP".
¿Este grupo de seguridad (Denegar acceso RDP) es el predeterminado o se creó uno?
Si se creó uno, ¿cómo comprobar quién lo creó?
Gracias, ram
Respuesta1
Este no parece ser un grupo integrado, por lo que probablemente fue creado por alguien y asociado con la configuración de política de grupo que niega el acceso a los usuarios a través de RDP.
La única forma de saber quién creó ese grupo es:
- Si está auditando cambios de grupo
- Si el registro de eventos todavía tiene el evento y no se ha sobrescrito
¿Tampoco mencionaste si es un dominio o un grupo local? Si es un grupo de dominio, entonces el evento que busca está aquí:
https://system32.eventsentry.com/security/event/4727
Esa página también le muestra qué auditoría debe habilitarse para obtener este evento en primer lugar.