Я хотел бы знать, запоминает ли Windows или регистрирует (возможно, просмотрщик событий), когда создается новая учетная запись пользователя, а затем добавляется в локальную группу администраторов.
Ex ..
Пользователь сетевой учетной записи создает локального пользователя на компьютере с именем anonuser затем добавляет его в локальную группу администраторов через командную строку.
Если другой пользователь хочет знать, кто создал anonuser можно ли это сделать?
Найдите событие с кодом 4720: была создана учетная запись пользователя:
4720: учетная запись пользователя была создана
Пользователь, указанный в теме: создал пользователя, указанного в новой учетной записи :.
Атрибуты показывают некоторые свойства, которые были установлены во время создания учетной записи. Обратите внимание, что учетная запись изначально отключена.
Это событие регистрируется как для локальных учетных записей SAM, так и для учетных записей домена.
После этого события вы увидите ряд других событий управления учетными записями пользователей, поскольку оставшиеся свойства будут выбиты, пароль установлен и, наконец, учетная запись включена.
Тема :
Пользователь и сеанс входа, который выполнил действие.
- Идентификатор безопасности: SID учетной записи.
- Имя учетной записи: имя для входа в учетную запись.
- Домен учетной записи: домен или - в случае локальных учетных записей - имя компьютера.
- Идентификатор входа - это полууникальный (уникальный между перезагрузками) номер, который идентифицирует сеанс входа в систему. Идентификатор входа в систему позволяет коррелировать в обратном направлении к событию входа в систему (4624), а также к другим событиям, зарегистрированным во время того же сеанса входа в систему.
См. Ссылку на источник ниже для получения полного списка категорий и подкатегорий мероприятия.
Источник 4720: учетная запись пользователя была создана
Найдите событие с кодом 4732: участник был добавлен в локальную группу с включенной безопасностью:
4732: участник был добавлен в локальную группу с включенной безопасностью
Пользователь в Subject: добавил пользователя / группу / компьютер в Member: в локальную группу безопасности в Group:.
Это событие регистрируется на контроллерах домена для локальных групп домена Active Directory и на компьютере-члене для локальных групп SAM. Вы можете определить, является ли группа доменом или группой SAM, сравнив Group Domain: с Computer: name. Если они совпадают, у вас есть группа SAM, если они отличаются, у вас есть группа домена.
Active Directory
- В Active Directory "Пользователи и компьютеры" группы "Безопасность включена" просто называются группами безопасности. AD имеет 2 типа групп: безопасность и распространение. Группы рассылки (защита отключена) предназначены для списков рассылки в Exchange, и им не могут быть назначены разрешения или права. Группы безопасности (с включенной защитой) можно использовать для разрешений, прав и в качестве списков рассылки. Локальная группа домена означает, что группе может быть предоставлен доступ только к объектам в ее домене, но она может иметь членов из любого доверенного домена.
Локальный SAM
- Все группы являются группами безопасности в SAM компьютера. Локальным группам SAM можно предоставить доступ только к объектам на локальном компьютере, но они могут иметь членов из локального SAM и любого доверенного домена.
Тема:
Пользователь и сеанс входа, который выполнил действие.
- Идентификатор безопасности: SID учетной записи.
- Имя учетной записи: имя для входа в учетную запись.
- Домен учетной записи: домен или - в случае локальных учетных записей - имя компьютера.
- Идентификатор входа - это полууникальный (уникальный между перезагрузками) номер, который идентифицирует сеанс входа в систему. Идентификатор входа в систему позволяет коррелировать в обратном направлении к событию входа в систему (4624), а также к другим событиям, зарегистрированным во время того же сеанса входа в систему.
См. Ссылку на источник ниже для получения полного списка категорий и подкатегорий мероприятия.
Источник 4732: участник был добавлен в локальную группу с включенной безопасностью
