Je voudrais savoir si Windows se souvient ou enregistre (peut-être dans Observateur d'événements) lorsqu'un nouveau compte utilisateur est créé puis ajouté au groupe local des administrateurs.
Par exemple... Un utilisateur de compte réseau crée un utilisateur local sur une machine appelée anonuser puis l'ajoute au groupe local des administrateurs, le tout via la ligne de commande. Si un autre utilisateur veut savoir qui a créé anonuser, est-ce possible ?
Recherchez l'ID de l'événement 4720 : Un compte utilisateur a été créé :
4720: Un compte utilisateur a été créé
L'utilisateur identifié par Sujet : a créé l'utilisateur identifié par Nouveau compte :.
Les attributs montrent certaines des propriétés qui ont été définies au moment de la création du compte. Remarquez que le compte est initialement désactivé.
Cet événement est enregistré à la fois pour les comptes SAM locaux et les comptes de domaine.
Vous verrez une série d'autres événements de gestion des comptes d'utilisateurs après cet événement, alors que les propriétés restantes sont saisies, le mot de passe défini et que le compte est enfin activé.
Sujet :
L'utilisateur et la session de connexion ayant effectué l'action.
- ID de sécurité : L'identifiant de sécurité du compte.
- Nom du compte : Le nom d'ouverture de session du compte.
- Domaine du compte : Le domaine ou - dans le cas des comptes locaux - le nom de l'ordinateur.
- L'ID de connexion est un nombre semi-unique (unique entre les redémarrages) qui identifie la session de connexion. L'ID de connexion vous permet de faire le lien pour retourner à l'événement de connexion (4624) ainsi qu'avec d'autres événements enregistrés pendant la même session de connexion.
Consultez le lien source ci-dessous pour une liste complète des catégories et sous-catégories de l'événement.
Source 4720: Un compte utilisateur a été créé
Recherchez l'ID de l'événement 4732 : Un membre a été ajouté à un groupe local activé pour la sécurité :
4732: Un membre a été ajouté à un groupe local activé pour la sécurité
L'utilisateur en Sujet : a ajouté l'utilisateur/groupe/ordinateur en Membre : au groupe local de sécurité en Groupe :.
Cet événement est enregistré sur les contrôleurs de domaine pour les groupes locaux de domaine Active Directory et sur l'ordinateur membre pour les groupes SAM locaux. Vous pouvez déterminer si le groupe est un groupe de domaine ou un groupe SAM en comparant Domaine du groupe : au nom de l'ordinateur. S'ils correspondent, vous avez un groupe SAM, si ils diffèrent, vous avez un groupe de domaine.
Active Directory
- Dans les utilisateurs et ordinateurs Active Directory, les groupes "Activés pour la sécurité" sont simplement appelés groupes de sécurité. AD a 2 types de groupes : Sécurité et Distribution. Les groupes de Distribution (désactivés pour la sécurité) sont destinés aux listes de distribution dans Exchange et ne peuvent pas se voir attribuer des autorisations ou des droits. Les groupes de Sécurité (activés pour la sécurité) peuvent être utilisés pour des autorisations, des droits et en tant que listes de distribution. Un groupe local de domaine signifie que le groupe ne peut être autorisé à accéder aux objets de son domaine mais peut avoir des membres de n'importe quel domaine de confiance.
SAM local
- Tous les groupes sont des groupes de sécurité dans le SAM de l'ordinateur. Les groupes SAM locaux peuvent être autorisés à accéder aux objets sur l'ordinateur local seulement mais peuvent avoir des membres du SAM local et de n'importe quel domaine de confiance.
Sujet :
L'utilisateur et la session de connexion ayant effectué l'action.
- ID de sécurité : L'identifiant de sécurité du compte.
- Nom du compte : Le nom d'ouverture de session du compte.
- Domaine du compte : Le domaine ou - dans le cas des comptes locaux - le nom de l'ordinateur.
- L'ID de connexion est un nombre semi-unique (unique entre les redémarrages) qui identifie la session de connexion. L'ID de connexion vous permet de faire le lien pour retourner à l'événement de connexion (4624) ainsi qu'avec d'autres événements enregistrés pendant la même session de connexion.
Consultez le lien source ci-dessous pour une liste complète des catégories et sous-catégories de l'événement.
Source 4732: Un membre a été ajouté à un groupe local activé pour la sécurité
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
