Estou tendo dificuldade em entender por que o ID de evento 4732 do Windows (um membro foi adicionado a um grupo local habilitado para segurança) foi acionado sempre que um novo usuário foi adicionado a: grupo: Usuários, nome de domínio do grupo: interno. Então acho que isso significa que eles foram adicionados ao grupo Builtin\Users.
Depois de ler mais sobre usuários internos, parece que são todos os usuários que o sistema operacional cria ao instalar o sistema operacional, incluindo contas locais.
Por que builtin\Users é considerado um grupo habilitado para segurança?
Este evento deveria ser acionado sempre que um novo usuário não administrativo é adicionado ao sistema?
Se recebermos esse evento após a criação de uma conta, ela será considerada uma nova conta de administrador local ou conta de domínio?
Responder1
Pelo que entendi, eles são um grupo padrão adicionado quando um domínio do Active Directory é configurado, o que permite fazer login, fazer backups e outras tarefas associadas ao grupo.
Muitos grupos padrão recebem automaticamente um conjunto de direitos de usuário que autorizam os membros do grupo a executar ações específicas em um domínio, como fazer logon em um sistema local ou fazer backup de arquivos e pastas. Por exemplo, um membro do grupo Operadores de Backup tem o direito de executar operações de backup para todos os controladores de domínio do domínio.
Os grupos padrão estão localizados no contêiner Builtin e no contêiner Usuários em Usuários e Computadores do Active Directory. O contêiner Builtin inclui grupos definidos com o escopo Domínio Local. A inclusão de Usuários contém grupos definidos com escopo Global e grupos definidos com escopo Local de Domínio. Você pode mover grupos localizados nesses contêineres para outros grupos ou unidades organizacionais (OU) dentro do domínio, mas não pode movê-los para outros domínios.