Comment puis-je savoir qu'une commande "net user /domain" a été utilisée ?

Du point de vue du contrôleur de domaine, il n'y a pas de différence entre une personne qui consulte des objets AD à l'aide de la fonction Utilisateurs et ordinateurs d'Active Directory , net user /domain ou tout autre outil permettant de consulter le répertoire. Si vous souhaitez vraiment vérifier la création et la fin d'un processus, consultez la rubrique Le gestionnaire des tâches affiche les programmes en cours d'exécution - comment puis-je voir ceux qui ont été arrêtés ?

Cela dit, vous pouvez contrôler l'accès aux objets AD. Tout d'abord, ajustez la politique d'audit de vos contrôleurs de domaine ( Configuration de l'ordinateur Politiques Paramètres Windows Paramètres de sécurité Politiques locales Politique d'audit ) pour vérifier la réussite de l'accès au service d'annuaire. Allez ensuite dans ADUC et activez les fonctions avancées (sous View). Sur chaque OU contenant des utilisateurs, ouvrez la fenêtre Propriétés sur l'onglet Sécurité. Cliquez sur le bouton Avancé, puis passez à l'onglet Audit. Dans cet onglet, ajoutez un Liste des contenus (ou Contrôle total si vous le souhaitez) qui s'applique à tous. Dans l'onglet Audit, les entrées n'accordent pas d'accès ; elles marquent simplement les objets pour l'audit. Ensuite, tout utilisateur qui exécute un programme énumérant ces OU ajoutera un événement 4662 (Directory Service Access) au journal des événements du DC avec toutes les informations pertinentes.

Une autre solution consiste à créer un compte d'utilisateur unique "honeypot" auquel tous les accès ( Contrôle total ) fait l'objet d'un audit. Depuis le net user /domain examine quelques propriétés des utilisateurs qu'il trouve, il déclenchera l'audit.

Pour en savoir plus : Guide d'audit AD DS étape par étape