Me cuesta entender por qué el ID de evento de Windows 4732 (se agregó un miembro a un grupo local con seguridad habilitada) se activaba cada vez que se agregaba un nuevo usuario a: grupo: Usuarios, nombre de dominio del grupo: incorporado. Supongo que esto significa que fueron agregados al grupo Builtin\Users.
Después de leer más sobre los usuarios integrados, parece que son todos los usuarios que el sistema operativo crea al instalarlo, incluidas las cuentas locales.
¿Por qué se considera que los usuarios integrados son un grupo con seguridad habilitada?
¿Se supone que este evento se activa cada vez que se agrega al sistema un usuario nuevo no administrativo?
Si recibimos este evento después de crear una cuenta nueva, ¿se considera una nueva cuenta de administrador local o cuenta de dominio?
Respuesta1
Según tengo entendido, son un grupo predeterminado que se agrega cuando se configura un dominio de directorio activo, lo que les permite iniciar sesión, realizar copias de seguridad y otras tareas asociadas con el grupo.
A muchos grupos predeterminados se les asigna automáticamente un conjunto de derechos de usuario que autorizan a los miembros del grupo a realizar acciones específicas en un dominio, como iniciar sesión en un sistema local o realizar copias de seguridad de archivos y carpetas. Por ejemplo, un miembro del grupo Operadores de respaldo tiene derecho a realizar operaciones de respaldo para todos los controladores de dominio del dominio.
Los grupos predeterminados se encuentran en el contenedor integrado y en el contenedor Usuarios en Usuarios y equipos de Active Directory. El contenedor integrado incluye grupos que se definen con el ámbito de Dominio local. La sección Usuarios incluye grupos que están definidos con alcance global y grupos que están definidos con alcance de dominio local. Puede mover grupos ubicados en estos contenedores a otros grupos o unidades organizativas (OU) dentro del dominio, pero no puede moverlos a otros dominios.