로컬 사용자 계정이 생성되면 Windows가 기록합니까?

누가 사용자를 생성했는지 어떻게 알 수 있나요?

이벤트 ID 4720을 찾으십시오. 사용자 계정이 생성되었습니다.

4720: 사용자 계정이 생성되었습니다.

• 제목:으로 식별된 사용자가 새 계정:으로 식별된 사용자를 만들었습니다.

• 속성은 계정이 생성될 때 설정된 속성 중 일부를 표시합니다. 공지사항 계정은 처음에는 비활성화되어 있습니다.

• 이 이벤트는 로컬 SAM 계정과 도메인 계정 모두에 대해 기록됩니다.

• 이 이벤트 후에 나머지 속성이 펀치다운되고 비밀번호가 설정되고 계정이 최종적으로 활성화됨에 따라 일련의 다른 사용자 계정 관리 이벤트가 표시됩니다.

주제:

작업을 수행한 사용자 및 로그온 세션입니다.

• 보안 ID: 계정의 SID입니다.
• 계정 이름: 계정 로그온 이름입니다.
• 계정 도메인: 도메인 또는 로컬 계정의 경우 컴퓨터 이름입니다.
• 로그온 ID는 로그온 세션을 식별하는 반고유(재부팅 간에 고유) 번호입니다. 로그온 ID를 사용하면 로그온 이벤트(4624)와 동일한 로그온 세션 동안 기록된 다른 이벤트와 역방향 상관 관계를 지정할 수 있습니다.

이벤트의 카테고리 및 하위 카테고리 전체 목록을 보려면 아래 소스 링크를 참조하세요.

원천4720: 사용자 계정이 생성되었습니다.

---

관리자 로컬 그룹에 사용자를 추가한 사람이 누구인지 어떻게 알 수 있나요?

이벤트 ID 4732를 찾으십시오. 보안이 활성화된 로컬 그룹에 구성원이 추가되었습니다.

4732: 보안이 활성화된 로컬 그룹에 구성원이 추가되었습니다.

• 제목:의 사용자가 구성원:의 사용자/그룹/컴퓨터를 그룹:의 보안 로컬 그룹에 추가했습니다.

• 이 이벤트는 Active Directory 도메인 로컬 그룹의 도메인 컨트롤러와 로컬 SAM 그룹의 구성원 컴퓨터에 기록됩니다. 그룹 도메인:을 컴퓨터: 이름과 비교하여 그룹이 도메인인지 SAM 그룹인지 확인할 수 있습니다. 일치하면 SAM 그룹이 있고, 다르면 도메인 그룹이 있습니다.

액티브 디렉토리

• Active Directory 사용자 및 컴퓨터에서 "보안 사용" 그룹은 간단히 보안 그룹이라고 합니다. AD에는 보안과 배포라는 두 가지 유형의 그룹이 있습니다. 배포(보안 비활성화) 그룹은 Exchange의 배포 목록용이며 사용 권한을 할당할 수 없습니다. 보안(보안 활성화) 그룹은 사용 권한 및 배포 목록으로 사용될 수 있습니다. 도메인 로컬 그룹은 그룹이 해당 도메인 내의 개체에 대한 액세스 권한만 부여받을 수 있지만 신뢰할 수 있는 모든 도메인의 구성원을 가질 수 있음을 의미합니다.

로컬 SAM

• 모든 그룹은 컴퓨터 SAM의 보안 그룹입니다. 로컬 SAM 그룹은 로컬 컴퓨터의 개체에 대한 액세스 권한만 부여받을 수 있지만 로컬 SAM 및 신뢰할 수 있는 도메인의 구성원을 가질 수도 있습니다.

주제:

작업을 수행한 사용자 및 로그온 세션입니다.

• 보안 ID: 계정의 SID입니다.
• 계정 이름: 계정 로그온 이름입니다.
• 계정 도메인: 도메인 또는 로컬 계정의 경우 컴퓨터 이름입니다.
• 로그온 ID는 로그온 세션을 식별하는 반고유(재부팅 간에 고유) 번호입니다. 로그온 ID를 사용하면 로그온 이벤트(4624)와 동일한 로그온 세션 동안 기록된 다른 이벤트와 역방향 상관 관계를 지정할 수 있습니다.

이벤트의 카테고리 및 하위 카테고리 전체 목록을 보려면 아래 소스 링크를 참조하세요.

원천4732: 보안이 활성화된 로컬 그룹에 구성원이 추가되었습니다.

---

추가 자료

• Windows 보안 로그 이벤트