Come rilevare chi ha abilitato un account utente in Active Directory

Passaggi per trovare chi ha abilitato un account utente utilizzando PowerShell

Esegui le seguenti azioni sul controller di dominio (DC):

1. Clicca su Start, cerca Windows PowerShell, clicca con il pulsante destro del mouse su di esso e seleziona Esegui come amministratore.
2. Digita il seguente script nella console: Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4722} | Select-Object -Property *

3. Premi Invio.
4. Questo script mostrerà gli account utente eliminati. Nell'output, sotto Messaggio → Soggetto → Nome dell'account, è possibile trovare il nome e l'ID di sicurezza dell'utente che ha abilitato l'account utente di destinazione.

Nota: se utilizzi una workstation, devi eseguire il seguente script su PowerShell:

Get-EventLog -LogName Security -ComputerName <DC name>| Where-Object {$_.EventID -eq 4722} | Select-Object -Property *

dove <DC name> è il nome del controller di dominio in cui si desidera controllare i dettagli dell'account utente abilitato.

Attraverso il controllo nativo, è possibile cercare gli eventi e tenere d'occhio le modifiche apportate agli oggetti utente. Tuttavia, questo diventa poco pratico quando si ha a che fare con centinaia di account utente e si deve tenere traccia di ogni evento man mano che si verifica.

ADAudit Plus è un software di controllo di Active Directory in tempo reale che consente di ottenere visibilità sulle modifiche apportate agli oggetti AD e ai relativi attributi. Monitora ogni fase del ciclo di vita di un account utente insieme ai dettagli su chi lo ha avviato, da dove e quando.