Come rilevare chi ha creato un account utente in Active Directory

Inizia la tua prova gratuita

Un utente, con le giuste autorizzazioni per l'account, può apportare quasi qualsiasi modifica all'ambiente Active Directory (AD). Ora immagina uno scenario in cui un intruso crei un nuovo account utente e aggiunga questo utente a un gruppo privilegiato. Questo utente potrebbe ottenere accesso illimitato ai dati sensibili, a seconda del gruppo a cui è stato aggiunto. Questo è il motivo per cui è fondamentale tenere traccia di tutti gli account utente appena creati nella tua organizzazione. Continua a leggere per scoprire come farlo.

Scopri chi ha creato un account utente utilizzando PowerShell:

Esegui le seguenti azioni sul controller di dominio (DC):

  1. Premi Avvio, cerca e fai clic con il tasto destro su Windows PowerShell e seleziona Esegui come amministratore.
  2. Digita il seguente script nella console: Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4720} | Select-Object -Property *
  3. Premi Invio.
Come controllare il tracciamento del processo
  1. Questo script visualizzerà le proprietà dell'ID evento 4720, che viene registrato quando viene creato un account utente. Nell'output, in Messaggio → Oggetto, è possibile visualizzare il nome account e l'ID di sicurezza dell'utente che ha creato l'utente di destinazione.

Nota: se utilizzi una workstation, devi eseguire il seguente script su PowerShell:

Get-EventLog -LogName Security -ComputerName <DC name>| Where-Object {$_.EventID -eq 4720} | Select-Object -Property *

dove <DC name> è il nome del controller di dominio in cui è stato creato l'utente.

Come rilevare chi ha sbloccato un account utente

Il metodo sopra descritto per visualizzare l'evento di creazione dell'utente è laborioso e richiede tempo. Uno strumento di controllo AD di terze parti sarà un vantaggio per gli amministratori di sistema IT che devono gestire migliaia di dispositivi ed eventi registrati su ciascun dispositivo. ADAudit Plus di ManageEngine fornisce una piattaforma centralizzata per monitorare tutte le modifiche nel tuo AD, comprese le azioni di gestione degli utenti come la creazione, l'eliminazione e altro ancora.

Scopri chi ha creato un account utente utilizzando ADAudit Plus di ManageEngine:

  1. Scarica e installa ADAudit Plus.
  2. Trova i passaggi per configurare il controllo sul tuo controller di dominio qui.
  3. Apri la console ADAudit Plus e accedi come amministratore.
  4. Passa a Report → Active Directory → Gestione utenti → Utenti creati di recente.
Come rilevare chi ha sbloccato un account utente

Verrà visualizzato un elenco degli account utente creati di recente, inclusi i dettagli sull'ora della creazione, il controller di dominio in cui è stata eseguita l'azione e altro ancora.

Vantaggi dell'utilizzo di ADAudit Plus rispetto al controllo nativo:

  • Monitora e crea report su ogni fase del ciclo di vita di un account utente, ovvero creazione, modifica ed eliminazione dell'utente.
  • Proteggi i file critici nella tua organizzazione monitorando tutti gli accessi ai file e automatizzando le risposte agli accessi ingiustificati.
  • Visualizza le password impostate e modificate di recente per i tuoi utenti critici. Inoltre, risolvi i problemi relativi ai blocchi ripetuti degli account utilizzando il nostro Account Lockout Analyzer.

Guida correlata

  •