Zuhause »

Wie man herausfindet, wer ein Benutzerkonto in Active Directory erstellt hat

Starten Sie Ihre kostenlose Testversion

Ein Benutzer mit den richtigen Kontoberechtigungen kann fast jede Änderung an der Active Directory (AD)-Umgebung vornehmen. Stellen Sie sich nun ein Szenario vor, in dem ein Eindringling ein neues Benutzerkonto erstellt und diesen Benutzer einer privilegierten Gruppe hinzufügt. Dieser Benutzer könnte je nach der Gruppe, der er hinzugefügt wurde, uneingeschränkten Zugriff auf sensible Daten erhalten. Aus diesem Grund ist es von entscheidender Bedeutung, alle neu erstellten Benutzerkonten in Ihrer Organisation zu verfolgen. Lesen Sie weiter, um zu erfahren, wie.

Finden Sie mithilfe von PowerShell heraus, wer ein Benutzerkonto erstellt hat:

Führen Sie die folgenden Aktionen auf dem Domänencontroller (DC) aus:

  1. Drücken Sie auf Start, suchen Sie nach Windows PowerShell, klicken Sie mit der rechten Maustaste darauf und wählen Sie Als Administrator ausführen.
  2. Geben Sie das folgende Skript in die Konsole ein:

    3. Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4720} | Select-Object -Property *

  3. Drücken Sie die Eingabetaste.
    4. screenshot
  4. Dieses Skript zeigt die Eigenschaften der Ereignis-ID 4720 an, die bei der Erstellung eines Benutzerkontos protokolliert wird. In der Ausgabe sind unter Meldung → Betreff der Kontoname und die Sicherheits-ID des Benutzers zu sehen, der den Zielbenutzer erstellt hat.

Hinweis: Wenn Sie eine Workstation verwenden, sollte das folgende Skript in PowerShell ausgeführt werden:

Get-EventLog -LogName Security -ComputerName <DC-Name>| Where-Object {$_.EventID -eq 4720} | Select-Object -Property *

wobei <DC-Name> der Name des DC ist, in dem der Benutzer erstellt wurde.

screenshot

Die oben beschriebene Methode zur Anzeige des Ereignisses der Benutzererstellung ist mühsam und zeitaufwendig. Ein AD-Überwachungstool eines Drittanbieters ist eine große Hilfe für IT-Systemadministratoren, die sich mit Tausenden von Ereignissen befassen müssen, welche auf verschiedenen Geräten protokolliert werden. ManageEngine's ADAudit Plus bietet eine zentralisierte Plattform zur Überwachung aller Änderungen in Ihrem AD, einschließlich Benutzerverwaltungsaktionen wie Erstellung, Löschung und mehr.

Laden Sie jetzt eine kostenlose 30-Tage-Testversion herunter.

Finden Sie mithilfe von ManageEngine ADAudit Plus heraus, wer ein Benutzerkonto erstellt hat:

  1. Laden Sie ADAudit Plus herunter und installieren Sie es.
  2. Hier finden Sie die Schritte zum Konfigurieren der Überwachung auf Ihrem Domänencontroller.
  3. Öffnen Sie die ADAudit Plus-Konsole und melden Sie sich als Administrator an.
  4. Navigieren Sie zu Berichte → Active Directory → Benutzerverwaltung → Kürzlich erstellte Benutzer.
screenshot

Daraufhin wird eine Liste der kürzlich erstellten Benutzerkonten angezeigt, einschließlich Details zum Zeitpunkt der Erstellung, dem DC, auf dem die Aktion ausgeführt wurde, und mehr.

Vorteile der Verwendung von ADAudit Plus gegenüber der nativen Prüfung:

  • Überwachen und berichten Sie über jede Phase im Lebenszyklus eines Benutzerkontos, d. h. über die Erstellung, Änderung und Löschung von Benutzern.
  • Schützen Sie kritische Dateien in Ihrer Organisation, indem Sie den gesamten Dateizugriff überwachen und Reaktionen auf ungerechtfertigte Zugriffe automatisieren.
  • Zeigen Sie kürzlich festgelegte und geänderte Passwörter für Ihre kritischen Benutzer an. Darüber hinaus können Sie mit unserem Kontosperrungsanalysator Probleme bei wiederholten Kontosperrungen beheben.
Laden Sie die kostenlose 30-Tage-Testversion herunter

Verwandte How-Tos

 
  • Active Directory
  • File servers
  • Windows server
  • Workstation
  • Related Products