Come scoprire chi ha creato un account con PowerShell e ADAudit Plus
Di seguito è riportato un confronto tra le procedure di Windows PowerShell e ADAudit Plus per identificare quale utente ha creato un account:
Windows PowerShell
Procedura per ottenere un report sull’account utente mediante Windows PowerShell
- Definire il dominio da cui il report dev’essere generato.
- Definire nome SAMaccount e UPN per l’account appena creato.
- Definire il controller di dominio da cui recuperare il report.
- Eseguire lo script.
Scoprire quale utente a creato un account
Codice:
$dcs = Get-ADDomainController -Filter {Name -like "*"}
$upn = 'sometext@gmail.com'
Get-WinEvent -FilterHashtable @{LogName='Security';Id=4720} |
Where-Object { $_.Message -match "user principal name:\s+$upn" } |
Select-Object -Expand Message |
Select-String '(?<=subject:\s+security id:\s+\S+\s+account name:\s+)\S+' |
Select-Object -Expand Matches |
Select-Object -Expand Value
$exportFilePath = "c:\scripts\lastLogon.csv"
$columns = "username,datetime"
Out-File -filepath $exportFilePath -force -InputObject $columns
Copied
Fare clic per copiare l’intero script
ADAudit Plus
Procedura per ottenere un report sulla gestione degli utenti mediante ADAudit Plus
- Accedere alla console web di ADAudit Plus usando le credenziali di amministratore. Selezionare la scheda “Report” e navigare fino a “Gestione degli utenti” nel pannello di sinistra.
- Selezionare il report “Utente creato di recente”. Nel filtro di ricerca avanzato, selezionare “SAM account” “è” “nome_account”
- Nella colonna “Username chiamante” sarà possibile visualizzare chi ha creato l’account.
- È inoltre possibile scegliere di esportare tale report nel formato desiderato (CSV, .HTML, XLS, .PDF) usando l’opzione “Esporta”.
Screenshot
Perché ADAudit Plus è la soluzione migliore per ottenere i report di attività dei file
- ADAudit Plus consente di esportare facilmente i report nel formato desiderato e con un solo clic.
- Scansiona in automatico tutti i controller di dominio per ottenere il report necessario.
- È dotato di opzioni di filtro avanzate, che evitano l’inconveniente di dover creare query LDAP complesse.