So finden Sie heraus, wer AD-Konten erstellte – mit PowerShell und ADAudit Plus

Schritte zum Abruf eines Benutzerkontenberichtes mit Windows PowerShell

• Definieren Sie die Domäne, zu welcher der Bericht erstellt werden soll.
• Definieren Sie UPN und sAMaccount-Name des neu erstellten Kontos.
• Definieren Sie den Domänencontroller, von dem der Bericht abgerufen werden soll.
• Führen Sie das Skript aus.

Benutzer finden, der ein Konto erstellte

Code:

$dcs = Get-ADDomainController -Filter {Name -like "*"}                                  $upn = 'sometext@gmail.com'                                  Get-WinEvent -FilterHashtable @{LogName='Security';Id=4720} |                                 Where-Object { $_.Message -match "user principal name:\s+$upn" } |                                 Select-Object -Expand Message |                                 Select-String '(?<=subject:\s+security id:\s+\S+\s+account name:\s+)\S+' |                                 Select-Object -Expand Matches |                                 Select-Object -Expand Value                                 $exportFilePath = "c:\scripts\lastLogon.csv"                                 $columns = "username,datetime"                                 Out-File -filepath $exportFilePath -force -InputObject $columns 

Schritte zum Abruf eines Benutzerverwaltungsberichtes mit ADAudit Plus

• Melden Sie sich mit Administratorzugangsdaten an der ADAudit-Plus-Webkonsole an. Wählen Sie das Berichte-Register, wechseln Sie zum Benutzerverwaltung-Panel auf der linken Seite.
• Wählen Sie den „Kürzlich erstellte Benutzer“-Bericht. Wählen Sie „SAM-Konto“ „ist“ „Kontoname“ im erweiterten Suchfilter.
• In der Benutzername-Spalte können Sie sehen, wer das jeweilige Konto erstellte.
• Mit der Exportoption können Sie auch wählen, in welchem Format (CSV, HTML, XLS, PDF) der Bericht exportiert werden soll.

Bildschirmabbildung