我想知道當建立新使用者帳戶然後將其新增至管理員本機群組時,Windows 是否會記住或記錄(也許是事件檢視器)。
例如,網路帳戶用戶在名為的電腦上建立本機用戶,anonuser然後透過命令列將其新增至管理員本機群組。如果另一個使用者想知道是誰創建的,anonuser可以完成嗎?
答案1
如何找出誰創建了用戶?
尋找事件 ID 4720:已建立使用者帳戶:
4720:使用者帳戶已創建
由「主題:」標識的使用者建立了由「新帳戶:」標識的使用者。
屬性顯示建立帳戶時設定的一些屬性。注意帳戶最初已停用。
本機 SAM 帳戶和網域帳戶都會記錄此事件。
在此事件之後,您將看到一系列其他使用者帳戶管理事件,因為剩餘的屬性已被按下,密碼設定和帳戶最終啟用。
主題:
執行操作的使用者和登入會話。
- 安全性 ID:帳戶的 SID。
- 帳戶名稱:帳號登入名稱。
- 帳戶網域:網域或(如果是本機帳戶)電腦名稱。
- 登入 ID 是一個半唯一(重新啟動之間唯一)編號,用於識別登入工作階段。登入 ID 可讓您向後關聯到登入事件 (4624) 以及同一登入工作階段期間記錄的其他事件。
請參閱下面的來源鏈接,以了解該活動的類別和子類別的完整列表。
如何找出誰將使用者新增至管理員本機群組?
尋找事件 ID 4732:成員已新增至啟用安全的本機群組:
4732:成員已新增至啟用安全的本機群組
主題:中的使用者將成員:中的使用者/群組/電腦新增至群組:中的安全本機群組。
此事件記錄在 Active Directory 網域本機群組的網域控制站和本機 SAM 群組的成員電腦上。您可以將群組網域:與電腦:名稱進行比較來確定該群組是網域還是 SAM 組。如果它們匹配,您就有一個 SAM 組,如果它們不同,您就有一個網域組。
活動目錄
- 在 Active Directory 使用者和電腦中,「啟用安全性」群組簡稱為安全性群組。 AD 有兩種類型的群組:安全群組和分發群組。分發(停用安全性)群組適用於 Exchange 中的分發列表,不能分配權限或權利。安全性(啟用安全性)群組可用於權限、權利並用作通訊群組清單。網域本機群組意味著該群組只能被授予對其網域內物件的存取權限,但可以擁有來自任何受信任網域的成員。
本地SAM
- 所有群組都是電腦 SAM 中的安全群組。本機 SAM 群組只能被授予對本機上的物件的存取權限,但可以擁有來自本機 SAM 和任何受信任網域的成員。
主題:
執行操作的使用者和登入會話。
- 安全性 ID:帳戶的 SID。
- 帳戶名稱:帳號登入名稱。
- 帳戶網域:網域或(如果是本機帳戶)電腦名稱。
- 登入 ID 是一個半唯一(重新啟動之間唯一)編號,用於識別登入工作階段。登入 ID 可讓您向後關聯到登入事件 (4624) 以及同一登入工作階段期間記錄的其他事件。
請參閱下面的來源鏈接,以了解該活動的類別和子類別的完整列表。