Erkennen, wer ein Benutzerkonto in Active Directory aktiviert hat

Ein deaktiviertes Benutzerkonto kann ggf. von böswilligen Akteuren aktiviert und missbraucht werden. Aus diesem Grund ist es unabdingbar, dass IT-Admins ihre AD-Umgebung in Echtzeit überwachen – mit nativen Auditing-Tools für Active Directory, oder eben mit Drittanbieter-Tools. So können sie einfacher den Benutzer ausfindig machen, der das Benutzerkonto aktiviert hat. Hier finden Sie die nötigen Schritte, um herauszufinden, wer ein Benutzerkonto in AD aktiviert hat:

Kostenlos ausprobieren

So finden Sie mit PowerShell heraus, wer ein Benutzerkonto aktiviert hat

Führen Sie die folgenden Aktionen mit dem Domänencontroller (DC) aus:

  1. Drücken Sie auf Start und suchen Sie nach Windows PowerShell. Klicken Sie dann mit der rechten Maustaste darauf und wählen Sie Als Administrator ausführen aus.
  2. Geben Sie das folgende Skript in die Konsole ein: Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4722} | Select-Object -Property *
Steps to find who enabled a user account using PowerShell
  1. Drücken Sie die Eingabetaste.
  2. Das Skript zeigt aktivierte Benutzerkonten an. In der Ausgabe finden Sie unter Mitteilung→ Betreff → Kontoname den Namen und die Sicherheits-ID des Benutzers, der das Benutzerkonto aktiviert hat.

Hinweis: Wenn Sie eine Workstation verwenden, führen Sie folgendes Skript über PowerShell aus:

Get-EventLog -LogName Security -ComputerName <DC name>| Where-Object {$_.EventID -eq 4722} | Select-Object -Property *

Dabei steht <DC name> für den Namen des Domänencontrollers, auf dem Sie die Details des aktivierten Benutzerkontos überprüfen möchten.

Steps to find who enabled a user account using PowerShell

Über natives Auditing können Sie nach Ereignissen suchen und ein Auge auf Änderungen an Benutzerobjekten halten. Wenn Sie aber mit hunderten von Benutzerkonten zu kämpfen haben und alle Ereignisse im Blick behalten möchten, kann Ihnen das schnell über den Kopf wachsen.

ADAudit Plus ist eine Software für das Active-Directory-Auditing in Echtzeit, mit der Sie Einblicke in Änderungen an AD-Objekten und Attributen erhalten. Überwachen Sie alle Phasen im Lebenszyklus eines Benutzerkontos, zusammen mit Details dazu, wer es von wo aus und wann initiiert hat.

Mit ADAudit Plus identifizieren Sie in nur wenigen Klicks, wer ein Benutzerkonto aktiviert hat

  1. Öffnen Sie die Konsole von ADAudit Plus und melden Sie sich als Administrator an.
  2. Navigieren Sie zu Berichte → Active Directory → Benutzermanagement → Kürzlich aktivierte Benutzer.
1
 

Find who enabled a user account in Active Directory, when, and from where.

2
 

Other reports on recently created, deleted, moved, and locked out user accounts help you gain more insight into your AD user accounts.

Find who enabled a user account in Active Directory using ADAudit Plus

Find who enabled a user account in Active Directory, when, and from where.
Other reports on recently created, deleted, moved, and locked out user accounts help you gain more insight into your AD user accounts.

Vorteile beim Einsatz von ADAudit Plus im Vergleich zu nativen Auditing-Tools

  • Überwachung und Reporting zu allen Phasen im Lebenszyklus von AD-Objekten, mit umfassenden Informationen zu allen Aspekten Ihrer AD-Umgebung.
  • Erkennen Sie ungewöhnliches Benutzerverhalten mit der UBA-Engine (User Behavior Analytics). Wenn beispielsweise ungewöhnlich viele Aktivitäten in der Benutzerverwaltung, fehlgeschlagene Anmeldungen oder Fehler beim Dateizugriff auftreten, kann das auf Risiken hindeuten.
  • Mit der Analyse von Kontosperrungen identifizieren Sie die Ursache für Kontosperrungen und beheben Sie diese Probleme schneller.