Come tracciare la creazione di un account locale

Nel panorama della sicurezza IT, il monitoraggio della creazione di account utente è uno degli eventi critici che dobbiamo tracciare, quando si tratta di monitoraggio dell'attività degli utenti. Se hai appena iniziato a monitorare le creazioni degli account utente, i passaggi seguenti ti aiuteranno a capire i dettagli necessari relativi agli account creati di recente. Puoi verificare quando e chi ha creato un account utente utilizzando gli strumenti AD nativi.

Inoltre, puoi anche scoprire come ADAudit Plus, una soluzione completa di controllo delle modifiche AD, semplifica questo processo fornendo un'interfaccia utente intuitiva dotata di report e filtri di ricerca preconfigurati. Questo si traduce in un risparmio di tempo e accelera la risposta agli incidenti.

Scarica gratis
Prova gratuita e completamente funzionante di 30 giorni
  • Con il controllo AD nativo

  • Con ADAudit Plus

  • Come utilizzare ADAudit Plus per tracciare la creazione di un account locale.
  • Nota: per abilitare il controllo richiesto, fai riferimento al Passaggio 1 nella scheda Controllo AD nativo. Dopodiché puoi seguire i passaggi seguenti per visualizzare gli eventi pertinenti.

  • Seleziona la scheda Controllo del server e vai alla scheda Gestione dell'account locale.

  • Puoi quindi passare al report preconfigurato denominato Utenti creati di recente.

  • In questo modo si ottiene un report degli utenti appena creati. Puoi verificare quando è stato creato un account utente locale.

  • Personalizza il Periodo all'intervallo di tempo desiderato. Inoltre, puoi definire un periodo personalizzato e salvarlo per una consultazione più rapida.

  • Per il periodo selezionato viene generato un report dettagliato delle informazioni di controllo.

  • Facendo clic su un evento nel grafico a barre, la visualizzazione del report viene filtrata, evidenziando solo l'evento selezionato.

  • Le opzioni di filtro avanzate ti aiutano a individuare l'evento specifico che stai cercando.

  • find-when-local-account-was-created-6
  • Passaggio 1: abilita il controllo dei Criteri di gruppo
  • Avvia il Server Manager e apri la Console Gestione Criteri di gruppo(GPMC).

  • Nel riquadro di sinistra, espandi i nodi Foresta e Domini per rivelare il dominio specificato per il quale desideri tenere traccia delle modifiche.

  • Espandi il dominio e fai clic con il pulsante destro del mouse su Criteri di dominio predefiniti. Puoi anche scegliere un criterio di dominio universale in tutto il dominio oppure creare un nuovo oggetto Criteri di gruppo e collegarlo al criterio di dominio predefinito.

  • Fai clic sull'opzione Modifica del criterio di gruppo desiderato per aprire Modifica Criteri di gruppo.

  • Espandi Configurazione computer-->Criteri-->Impostazioni di Windows-->Impostazioni sicurezza-->Criteri locali-->Criteri controllo.

  • Abilita le opzioni di operazioni riuscite e non per Controlla gestione degli account. Inoltre, puoi consentire un controllo più granulare. Seleziona Configurazione avanzata dei criteri di controllo-->Criteri di controllo di sistema-->Gestione account-->Controlla Gestione account utente. Esci da Modifica Criteri di gruppo.

    find-when-local-account-was-created-1 find-when-local-account-was-created-2
  • Nella Console Gestione Criteri di gruppo scegli l'oggetto Criteri di gruppo modificato e fai clic su Aggiungi nella sezione Sicurezza del riquadro di destra. Digita "Tutti" nella casella di testo e fai clic su Controlla nomi per tenere traccia delle modifiche apportate da tutti coloro che hanno effettuato l'accesso al dominio. Esci dalla Console Gestione Criteri di gruppo.

    1. Per applicare queste modifiche in tutto il dominio, esegui il comando gpupdate /force in Esegui.
  • Passaggio 2: consenti il controllo AD tramite ADSI Edit
  • Dal tuo Server Manager Vai a Strumenti e seleziona ADSI Edit.

  • Fai clic con il pulsante destro del mouse su ADSI Edit dal riquadro di sinistra e seleziona l'opzione Connetti a. In questo modo viene visualizzata la finestra "Impostazioni delle connessioni".

  • Seleziona l'opzione Contesto di denominazione predefinito dal menu a discesa Seleziona un contesto di denominazione noto.

  • Fai clic su OK e torna alla finestra di ADSI Edit. Espandi il Contesto di denominazione predefinito e seleziona il nodo secondario associato DC. Fai clic con il pulsante destro del mouse su questo nodo secondario e scegli Proprietà.

  • Nella finestra Proprietà, vai alla scheda Sicurezza e seleziona Avanzate. Quindi, seleziona la scheda Controllo e fai clic su Aggiungi.

    find-when-local-account-was-created-3
  • Fai clic su Seleziona un'entità. Questo farà apparire la finestra Seleziona utente, computer o gruppo. Digita Tutti nella casella di testo e verifica con Controlla nomi.

  • L'entità nella finestra Voce di controllo ora mostra Tutti. Nel menu a discesa Tipo seleziona Tutti per verificare sia gli eventi di operazione riuscita che di errore.

  • Nel menu a discesa Seleziona, scegli Questo oggetto e tutti gli oggetti discendenti. Seleziona Controllo completo nella sezione Autorizzazioni.

  • In questo modo vengono selezionate tutte le caselle di controllo disponibili. Deseleziona le seguenti caselle di controllo:

    1. Controllo completo
    2. Contenuto dell'elenco
    3. Leggi tutte le proprietà
    4. Autorizzazioni di lettura
    find-when-local-account-was-created-4
  • Passaggio 3: visualizza gli eventi nel Visualizzatore eventi
  • Puoi visualizzare il seguente evento nel Visualizzatore eventi.

    L'ID evento 4720 descrive un account utente creato.

    Puoi verificare chi ha creato l'account utente e quando è stato creato facendo riferimento ai dettagli pubblicati nelle proprietà dell'evento. Se l'account utente è un account utente locale, il campo Dominio account conterrà il nome del dispositivo da cui è stato creato.

  • find-when-local-account-was-created-5

Il controllo nativo è un po' troppo?

Semplifica la gestione degli account locali, il controllo e la creazione di report con ADAudit Plus.

Richiedi la tua prova gratuita Versione di prova di 30 giorni completamente funzionante

Il controllo di Active Directory è diventato più semplice!

ADAudit Plus viene fornito in bundle con più di 300 report predefiniti che semplificano il controllo di AD. La soluzione invia anche avvisi in tempo reale per segnalare eventi critici e quindi aiuta a proteggere la rete dalle minacce e a migliorare il livello di sicurezza IT. Scopri le funzionalità di ADAudit Plus qui.

Scarica ADAudit Plus

  • Con il controllo AD nativo

  • Con ADAudit Plus

  • Come utilizzare ADAudit Plus per tracciare la creazione di un account locale.
  • Nota: per abilitare il controllo richiesto, fai riferimento al Passaggio 1 nella scheda Controllo AD nativo. Dopodiché puoi seguire i passaggi seguenti per visualizzare gli eventi pertinenti.

  • Seleziona la scheda Controllo del server e vai alla scheda Gestione dell'account locale.

  • Puoi quindi passare al report preconfigurato denominato Utenti creati di recente.

  • In questo modo si ottiene un report degli utenti appena creati. Puoi verificare quando è stato creato un account utente locale.

  • Personalizza il Periodo all'intervallo di tempo desiderato. Inoltre, puoi definire un periodo personalizzato e salvarlo per una consultazione più rapida.

  • Per il periodo selezionato viene generato un report dettagliato delle informazioni di controllo.

  • Facendo clic su un evento nel grafico a barre, la visualizzazione del report viene filtrata, evidenziando solo l'evento selezionato.

  • Le opzioni di filtro avanzate ti aiutano a individuare l'evento specifico che stai cercando.

  • find-when-local-account-was-created-6
  • Passaggio 1: abilita il controllo dei Criteri di gruppo
  • Avvia il Server Manager e apri la Console Gestione Criteri di gruppo(GPMC).

  • Nel riquadro di sinistra, espandi i nodi Foresta e Domini per rivelare il dominio specificato per il quale desideri tenere traccia delle modifiche.

  • Espandi il dominio e fai clic con il pulsante destro del mouse su Criteri di dominio predefiniti. Puoi anche scegliere un criterio di dominio universale in tutto il dominio oppure creare un nuovo oggetto Criteri di gruppo e collegarlo al criterio di dominio predefinito.

  • Fai clic sull'opzione Modifica del criterio di gruppo desiderato per aprire Modifica Criteri di gruppo.

  • Espandi Configurazione computer-->Criteri-->Impostazioni di Windows-->Impostazioni sicurezza-->Criteri locali-->Criteri controllo.

  • Abilita le opzioni di operazioni riuscite e non per Controlla gestione degli account. Inoltre, puoi consentire un controllo più granulare. Seleziona Configurazione avanzata dei criteri di controllo-->Criteri di controllo di sistema-->Gestione account-->Controlla Gestione account utente. Esci da Modifica Criteri di gruppo.

    find-when-local-account-was-created-1 find-when-local-account-was-created-2
  • Nella Console Gestione Criteri di gruppo scegli l'oggetto Criteri di gruppo modificato e fai clic su Aggiungi nella sezione Sicurezza del riquadro di destra. Digita "Tutti" nella casella di testo e fai clic su Controlla nomi per tenere traccia delle modifiche apportate da tutti coloro che hanno effettuato l'accesso al dominio. Esci dalla Console Gestione Criteri di gruppo.

    1. Per applicare queste modifiche in tutto il dominio, esegui il comando gpupdate /force in Esegui.
  • Passaggio 2: consenti il controllo AD tramite ADSI Edit
  • Dal tuo Server Manager Vai a Strumenti e seleziona ADSI Edit.

  • Fai clic con il pulsante destro del mouse su ADSI Edit dal riquadro di sinistra e seleziona l'opzione Connetti a. In questo modo viene visualizzata la finestra "Impostazioni delle connessioni".

  • Seleziona l'opzione Contesto di denominazione predefinito dal menu a discesa Seleziona un contesto di denominazione noto.

  • Fai clic su OK e torna alla finestra di ADSI Edit. Espandi il Contesto di denominazione predefinito e seleziona il nodo secondario associato DC. Fai clic con il pulsante destro del mouse su questo nodo secondario e scegli Proprietà.

  • Nella finestra Proprietà, vai alla scheda Sicurezza e seleziona Avanzate. Quindi, seleziona la scheda Controllo e fai clic su Aggiungi.

    find-when-local-account-was-created-3
  • Fai clic su Seleziona un'entità. Questo farà apparire la finestra Seleziona utente, computer o gruppo. Digita Tutti nella casella di testo e verifica con Controlla nomi.

  • L'entità nella finestra Voce di controllo ora mostra Tutti. Nel menu a discesa Tipo seleziona Tutti per verificare sia gli eventi di operazione riuscita che di errore.

  • Nel menu a discesa Seleziona, scegli Questo oggetto e tutti gli oggetti discendenti. Seleziona Controllo completo nella sezione Autorizzazioni.

  • In questo modo vengono selezionate tutte le caselle di controllo disponibili. Deseleziona le seguenti caselle di controllo:

    1. Controllo completo
    2. Contenuto dell'elenco
    3. Leggi tutte le proprietà
    4. Autorizzazioni di lettura
    find-when-local-account-was-created-4
  • Passaggio 3: visualizza gli eventi nel Visualizzatore eventi
  • Puoi visualizzare il seguente evento nel Visualizzatore eventi.

    L'ID evento 4720 descrive un account utente creato.

    Puoi verificare chi ha creato l'account utente e quando è stato creato facendo riferimento ai dettagli pubblicati nelle proprietà dell'evento. Se l'account utente è un account utente locale, il campo Dominio account conterrà il nome del dispositivo da cui è stato creato.

  • find-when-local-account-was-created-5

Il controllo nativo è un po' troppo?

Semplifica la gestione degli account locali, il controllo e la creazione di report con ADAudit Plus.

Richiedi la tua prova gratuita Versione di prova di 30 giorni completamente funzionante

Il controllo di Active Directory è diventato più semplice!

ADAudit Plus viene fornito in bundle con più di 300 report predefiniti che semplificano il controllo di AD. La soluzione invia anche avvisi in tempo reale per segnalare eventi critici e quindi aiuta a proteggere la rete dalle minacce e a migliorare il livello di sicurezza IT. Scopri le funzionalità di ADAudit Plus qui.

Scarica ADAudit Plus

Richiedere supporto

Grazie!

I nostri tecnici dell'assistenza ti ricontatteranno al più presto.

    Inserire un indirizzo email valido
  •  
     
  • Cliccando 'invia richiesta' accetti l’elaborazione dei propri dati personali secondo l’Informativa sulla privacy.

Zoho Corporation Pvt. Ltd. Tutti i diritti riservati.