Мне сложно понять, почему событие Windows с идентификатором 4732 (участник был добавлен в локальную группу с поддержкой безопасности) срабатывало всякий раз, когда новый пользователь добавлялся в: группа: Пользователи, доменное имя группы: встроенная. Так что, я думаю, это означает, что они были добавлены в группу Builtin\Users.
После прочтения информации о builtin\Users складывается впечатление, что это все пользователи, которых ОС создает при установке, включая локальные учетные записи.
Почему builtin\Users считается группой с включенной защитой?
Должно ли это событие срабатывать каждый раз, когда в систему добавляется новый пользователь, не являющийся администратором?
Если мы получаем это событие после создания новой учетной записи, считается ли она новой учетной записью локального администратора или учетной записью домена?
решение1
Насколько я понимаю, это группа по умолчанию, которая добавляется при настройке домена Active Directory, что позволяет им входить в систему, выполнять резервное копирование и другие задачи, связанные с группой.
Многим группам по умолчанию автоматически назначается набор прав пользователя, которые разрешают членам группы выполнять определенные действия в домене, такие как вход в локальную систему или резервное копирование файлов и папок. Например, член группы Backup Operators имеет право выполнять операции резервного копирования для всех контроллеров домена в домене.
Группы по умолчанию находятся в контейнере Builtin и в контейнере Users в Active Directory Users and Computers. Встроенный контейнер включает группы, определенные с областью Domain Local. В контейнер Users входят группы, определенные с областью Global, и группы, определенные с областью Domain Local. Группы, расположенные в этих контейнерах, можно перемещать в другие группы или организационные единицы (OU) в пределах домена, но нельзя перемещать их в другие домены.