Gostaria de saber se o Windows se lembra ou registra (talvez o visualizador de eventos) quando uma nova conta de usuário é criada e depois adicionada ao grupo local de administradores.
Ex .. Um usuário da conta de rede cria um usuário local em uma máquina chamada anonusere o adiciona ao grupo local de administradores por toda a linha de comando. Se outro usuário quiser saber quem criou, anonuserisso pode ser realizado?
Procure a identificação de evento 4720: uma conta de usuário foi criada:
4720: Uma conta de usuário foi criada
O usuário identificado por Assunto: criou o usuário identificado por Nova conta :.
Os atributos mostram algumas das propriedades definidas no momento em que a conta foi criada. A conta de aviso está inicialmente desativada.
Este evento é registrado para contas SAM locais e contas de domínio.
Você verá uma série de outros eventos de Gerenciamento de Conta de Usuário após esse evento, pois as propriedades restantes serão perfuradas, a senha definida e a conta finalmente ativadas.
Assunto :
A sessão de usuário e logon que executou a ação.
- ID de segurança: o SID da conta.
- Nome da conta: o nome do logon da conta.
- Domínio da conta: o domínio ou - no caso de contas locais - nome do computador.
- O ID de logon é um número semi-exclusivo (exclusivo entre reinicializações) que identifica a sessão de logon. O ID de logon permite correlacionar para trás com o evento de logon (4624), bem como com outros eventos registrados durante a mesma sessão de logon.
Veja o link da fonte abaixo para obter uma lista completa de categorias e subcategorias para o evento.
Origem 4720: Uma conta de usuário foi criada
Procure a identificação de evento 4732: um membro foi adicionado a um grupo local habilitado para segurança:
4732: Um membro foi adicionado a um grupo local habilitado para segurança
O usuário no Assunto: adicionou o usuário / grupo / computador no Membro: ao grupo Local de Segurança no Grupo :.
Este evento é registrado em controladores de domínio para grupos locais de domínio do Active Directory e computador membro para grupos SAM locais. Você pode determinar se o grupo é um domínio ou um grupo SAM comparando Domínio do Grupo: com o nome Computador: Se eles corresponderem a um grupo SAM, se eles diferirem, você terá um grupo de domínio.
Diretório ativo
- Nos Usuários e Computadores do Active Directory, os grupos "Segurança Ativada" são simplesmente chamados de grupos de Segurança. O AD possui 2 tipos de grupos: Segurança e Distribuição. Grupos de distribuição (segurança desativada) são para listas de distribuição no Exchange e não podem receber permissões ou direitos atribuídos. Grupos de segurança (segurança ativada) podem ser usados para permissões, direitos e como listas de distribuição. Um grupo local de domínio significa que o grupo só pode ter acesso a objetos em seu domínio, mas pode ter membros de qualquer domínio confiável.
SAM local
- Todos os grupos são grupos de segurança no SAM do computador. Grupos locais de SAM podem ter acesso concedido a objetos no computador local apenas, mas podem ter membros do SAM local e de qualquer domínio confiável.
Assunto :
A sessão de usuário e logon que executou a ação.
- ID de segurança: o SID da conta.
- Nome da conta: o nome do logon da conta.
- Domínio da conta: o domínio ou - no caso de contas locais - nome do computador.
- O ID de logon é um número semi-exclusivo (exclusivo entre reinicializações) que identifica a sessão de logon. O ID de logon permite correlacionar para trás com o evento de logon (4624), bem como com outros eventos registrados durante a mesma sessão de logon.
Veja o link da fonte abaixo para obter uma lista completa de categorias e subcategorias para o evento.
Origem 4732: Um membro foi adicionado a um grupo local com segurança ativada
anonuser?