Регистрирует ли Windows создание локальной учетной записи пользователя?

Question

Как узнать, кто создал пользователя?

Найдите идентификатор события 4720: создана учетная запись пользователя:

4720: Создана учетная запись пользователя

Пользователь, идентифицированный по Теме:, создал пользователя, идентифицированного по Новой учетной записи:.

Атрибуты показывают некоторые свойства, которые были установлены во время создания учетной записи. Обратите внимание, что учетная запись изначально отключена.

Это событие регистрируется как для локальных учетных записей SAM, так и для доменных учетных записей.

После этого события вы увидите ряд других событий управления учетными записями пользователей, поскольку оставшиеся свойства будут сохранены, пароль установлен и учетная запись, наконец, включена.

Предмет:

Пользователь и сеанс входа в систему, выполнившие действие.

Идентификатор безопасности: SID учетной записи.

Имя учетной записи: имя для входа в учетную запись.

Домен учетной записи: домен или — в случае локальных учетных записей — имя компьютера.

Logon ID — это полууникальный (уникальный между перезагрузками) номер, который идентифицирует сеанс входа в систему. Logon ID позволяет вам соотноситься с событием входа в систему (4624), а также с другими событиями, зарегистрированными во время того же сеанса входа в систему.

Полный список категорий и подкатегорий мероприятия смотрите по ссылке ниже.

Источник4720: Создана учетная запись пользователя

Как узнать, кто добавил пользователя в локальную группу администраторов?

Найдите событие с идентификатором 4732: участник был добавлен в локальную группу с включенной защитой:

4732: Участник был добавлен в локальную группу с включенной безопасностью

Пользователь в Теме: добавил пользователя/группу/компьютер в Участнике: в локальную группу безопасности в Группе:.

Это событие регистрируется на контроллерах домена для локальных групп домена Active Directory и компьютерах-участниках для локальных групп SAM. Вы можете определить, является ли группа доменом или группой SAM, сравнив Group Domain: с именем Computer:. Если они совпадают, у вас есть группа SAM, если они различаются, у вас есть группа домена.

Активный каталог

В Active Directory Users and Computers группы «Security Enabled» просто называются группами безопасности. AD имеет 2 типа групп: Security и Distribution. Группы распространения (безопасность отключена) предназначены для списков рассылки в Exchange и не могут быть назначены разрешения или права. Группы безопасности (безопасность включена) могут использоваться для разрешений, прав и в качестве списков рассылки. Локальная группа домена означает, что группе может быть предоставлен доступ только к объектам в пределах ее домена, но она может иметь участников из любого доверенного домена.

Местный SAM

Все группы являются группами безопасности в SAM компьютера. Локальным группам SAM может быть предоставлен доступ только к объектам на локальном компьютере, но они могут иметь членов из локального SAM и любого доверенного домена.

Предмет:

Пользователь и сеанс входа в систему, выполнившие действие.

Идентификатор безопасности: SID учетной записи.

Имя учетной записи: имя для входа в учетную запись.

Домен учетной записи: домен или — в случае локальных учетных записей — имя компьютера.

Logon ID — это полууникальный (уникальный между перезагрузками) номер, который идентифицирует сеанс входа в систему. Logon ID позволяет вам соотноситься с событием входа в систему (4624), а также с другими событиями, зарегистрированными во время того же сеанса входа в систему.

Полный список категорий и подкатегорий мероприятия смотрите по ссылке ниже.

Источник4732: Участник был добавлен в локальную группу с включенной безопасностью

Дальнейшее чтение

События журнала безопасности Windows

Answer 1

Как узнать, кто создал пользователя?

Найдите идентификатор события 4720: создана учетная запись пользователя:

4720: Создана учетная запись пользователя

Пользователь, идентифицированный по Теме:, создал пользователя, идентифицированного по Новой учетной записи:.

Атрибуты показывают некоторые свойства, которые были установлены во время создания учетной записи. Обратите внимание, что учетная запись изначально отключена.

Это событие регистрируется как для локальных учетных записей SAM, так и для доменных учетных записей.

После этого события вы увидите ряд других событий управления учетными записями пользователей, поскольку оставшиеся свойства будут сохранены, пароль установлен и учетная запись, наконец, включена.

Предмет:

Пользователь и сеанс входа в систему, выполнившие действие.

Идентификатор безопасности: SID учетной записи.

Имя учетной записи: имя для входа в учетную запись.

Домен учетной записи: домен или — в случае локальных учетных записей — имя компьютера.

Logon ID — это полууникальный (уникальный между перезагрузками) номер, который идентифицирует сеанс входа в систему. Logon ID позволяет вам соотноситься с событием входа в систему (4624), а также с другими событиями, зарегистрированными во время того же сеанса входа в систему.

Полный список категорий и подкатегорий мероприятия смотрите по ссылке ниже.

Источник4720: Создана учетная запись пользователя

Как узнать, кто добавил пользователя в локальную группу администраторов?

Найдите событие с идентификатором 4732: участник был добавлен в локальную группу с включенной защитой:

4732: Участник был добавлен в локальную группу с включенной безопасностью

Пользователь в Теме: добавил пользователя/группу/компьютер в Участнике: в локальную группу безопасности в Группе:.

Это событие регистрируется на контроллерах домена для локальных групп домена Active Directory и компьютерах-участниках для локальных групп SAM. Вы можете определить, является ли группа доменом или группой SAM, сравнив Group Domain: с именем Computer:. Если они совпадают, у вас есть группа SAM, если они различаются, у вас есть группа домена.

Активный каталог

В Active Directory Users and Computers группы «Security Enabled» просто называются группами безопасности. AD имеет 2 типа групп: Security и Distribution. Группы распространения (безопасность отключена) предназначены для списков рассылки в Exchange и не могут быть назначены разрешения или права. Группы безопасности (безопасность включена) могут использоваться для разрешений, прав и в качестве списков рассылки. Локальная группа домена означает, что группе может быть предоставлен доступ только к объектам в пределах ее домена, но она может иметь участников из любого доверенного домена.

Местный SAM

Все группы являются группами безопасности в SAM компьютера. Локальным группам SAM может быть предоставлен доступ только к объектам на локальном компьютере, но они могут иметь членов из локального SAM и любого доверенного домена.

Предмет:

Пользователь и сеанс входа в систему, выполнившие действие.

Идентификатор безопасности: SID учетной записи.

Имя учетной записи: имя для входа в учетную запись.

Домен учетной записи: домен или — в случае локальных учетных записей — имя компьютера.

Logon ID — это полууникальный (уникальный между перезагрузками) номер, который идентифицирует сеанс входа в систему. Logon ID позволяет вам соотноситься с событием входа в систему (4624), а также с другими событиями, зарегистрированными во время того же сеанса входа в систему.

Полный список категорий и подкатегорий мероприятия смотрите по ссылке ниже.

Источник4732: Участник был добавлен в локальную группу с включенной безопасностью

Дальнейшее чтение

События журнала безопасности Windows

Регистрирует ли Windows создание локальной учетной записи пользователя?

решение1

Как узнать, кто создал пользователя?

Как узнать, кто добавил пользователя в локальную группу администраторов?

Дальнейшее чтение

Связанный контент