Gostaria de saber se o Windows se lembra ou registra (talvez o visualizador de eventos) quando uma nova conta de usuário é criada e adicionada ao grupo local de administradores.
Ex.. Um usuário de conta de rede cria um usuário local em uma máquina chamada anonusere o adiciona ao grupo local de administradores por meio da linha de comando. Se outro usuário quiser saber quem criou, anonuserisso pode ser feito?
Responder1
Como posso descobrir quem criou um usuário?
Procure o ID do evento 4720: uma conta de usuário foi criada:
4720: Uma conta de usuário foi criada
O usuário identificado por Assunto: criou o usuário identificado por Nova Conta:.
Os atributos mostram algumas das propriedades que foram definidas no momento em que a conta foi criada. Observe que a conta está inicialmente desativada.
Este evento é registrado tanto para contas SAM locais quanto para contas de domínio.
Você verá uma série de outros eventos de gerenciamento de conta de usuário após este evento, à medida que as propriedades restantes são perfuradas, a senha definida e a conta finalmente habilitada.
Assunto:
O usuário e a sessão de logon que executou a ação.
- ID de segurança: o SID da conta.
- Nome da conta: o nome de logon da conta.
- Domínio da conta: o domínio ou - no caso de contas locais - o nome do computador.
- ID de logon é um número semi-exclusivo (exclusivo entre reinicializações) que identifica a sessão de logon. O ID de logon permite correlacionar retroativamente o evento de logon (4624), bem como outros eventos registrados durante a mesma sessão de logon.
Veja o link da fonte abaixo para obter uma lista completa de categorias e subcategorias do evento.
Fonte4720: Uma conta de usuário foi criada
Como descubro quem adicionou um usuário ao grupo local de administradores?
Procure o ID do Evento 4732: Um membro foi adicionado a um grupo local com segurança habilitada:
4732: Um membro foi adicionado a um grupo local com segurança ativada
O usuário em Assunto: adicionou o usuário/grupo/computador em Membro: ao grupo Local de Segurança em Grupo:.
Este evento é registrado em controladores de domínio para grupos locais de domínio do Active Directory e em computadores membros para grupos SAM locais. Você pode determinar se o grupo é um domínio ou grupo SAM comparando Domínio do Grupo: com o nome do Computador:. Se eles corresponderem, você terá um grupo SAM; se forem diferentes, você terá um grupo de domínio.
Diretório Ativo
- Em Usuários e Computadores do Active Directory, os grupos com "Segurança Habilitada" são simplesmente chamados de grupos de Segurança. AD possui 2 tipos de grupos: Segurança e Distribuição. Os grupos de distribuição (segurança desabilitada) são para listas de distribuição no Exchange e não podem receber permissões ou direitos. Grupos de segurança (segurança habilitada) podem ser usados para permissões, direitos e como listas de distribuição. Um grupo de domínio local significa que o grupo só pode ter acesso a objetos dentro de seu domínio, mas pode ter membros de qualquer domínio confiável.
SAM locais
- Todos os grupos são grupos de segurança no SAM do computador. Os grupos SAM locais podem ter acesso a objetos apenas no computador local, mas podem ter membros do SAM local e de qualquer domínio confiável.
Assunto:
O usuário e a sessão de logon que executou a ação.
- ID de segurança: o SID da conta.
- Nome da conta: o nome de logon da conta.
- Domínio da conta: o domínio ou - no caso de contas locais - o nome do computador.
- ID de logon é um número semi-exclusivo (exclusivo entre reinicializações) que identifica a sessão de logon. O ID de logon permite correlacionar retroativamente o evento de logon (4624), bem como outros eventos registrados durante a mesma sessão de logon.
Veja o link da fonte abaixo para obter uma lista completa de categorias e subcategorias do evento.
Fonte4732: Um membro foi adicionado a um grupo local com segurança ativada