Cómo saber cuándo se creó la cuenta local

• Paso 1: Habilite la auditoría de directiva de grupo

• Inicie el Administrador de servidores y abra la Consola de administración de directiva de grupo (GPMC).
• En el panel izquierdo, expanda el icono Bosques y Dominios para revelar el dominio especificado para el que desea realizar un seguimiento de los cambios.
• Expanda el dominio y haga clic derecho en Directiva de dominio predeterminada. También puede elegir una directiva de dominio que sea universal en todo el dominio o crear un nuevo GPO y vincularlo a la Directiva de dominio predeterminada.
• Haga clic en Editar de la directiva de grupo deseada para abrir el Editor de administración de directivas de grupo.
• Expanda “Configuración del equipo”-->Directivas-->Configuración de Windows-->Configuración de seguridad-->Directivas locales-->Directiva de auditoría.

• Habilite las opciones de Éxito y Error para Administración de cuentas. También puede permitir una auditoría más detallada. Seleccione “Configuración de directiva de auditoría avanzada”-->“Directiva de auditoría”-->Administración de cuentas-->Auditar administración de cuentas de usuario. Salga del Editor de administración de directiva de grupo.

   

• En GPMC, elija el GPO modificado y haga clic en Agregar en la sección Seguridad en el panel derecho. Escriba "Todos" en el cuadro de texto y haga clic en Comprobar nombres para realizar un seguimiento de los cambios realizados por todos los que han iniciado sesión en el dominio. Salga del GPMC.
  1. Para aplicar estos cambios en todo el dominio, ejecute el comando gpupdate /force, en la ejecución

• Paso 2: Permita auditoría de AD a través de ADSI Edit

• Desde su “Administrador de servidores”, vaya a “Herramientas”y seleccione “ADSI Edit”.
• Haga clic con el botón derecho en el nodo “ADSI Edit” en el panel izquierdo y seleccione la opción “Conectar a”. Esto abre la ventana de Configuración de conexión.
• Seleccione la opción Contexto de nomenclatura predeterminado de la lista desplegable “Seleccione un contexto de nomenclatura conocido”.
• Haga clic en “Aceptar”y regrese a la ventana de ADSI Edit. Expanda Contexto de nomenclatura predeterminado y seleccione el sub-nodo “DC” asociado. Haga clic con el botón derecho en este sub-nodo y haga clic en Propiedades.

• En la ventana Propiedades, vaya a la pestaña Seguridad y seleccione Avanzado. Después de eso, seleccione Auditoría y haga clic en Agregar.

  

• Haga clic en Seleccionar una entidad de seguridad. Esto hará que aparezca una ventana de Seleccione Usuario, Equipo o Grupo. Escriba “Todos” en el cuadro de texto y verifíquelo con Comprobar nombres.
• La Entidad de seguridad en la ventana Entrada de auditoría ahora muestra Todos. En el menú desplegable Tipo, seleccione Todos para auditar los eventos de Éxito y Error.
• En el menú desplegable Seleccione elija Este objeto y todos los objetos descendientes. Seleccione Control total en la sección de Permisos.

• Esto selecciona todas las casillas de verificación disponibles. Desmarque las siguientes casillas de verificación:

  1. Control total
  2. Contenido de la lista
  3. Lea todas las propiedades
  4. Lea permisos

   

• Paso 3: Vea eventos en el Visor de eventos

Puede ver el siguiente evento en el Visor de eventos.

El ID de evento 4720 describe una cuenta de usuario que se crea.

Puede comprobar quién creó la cuenta de usuario y cuándo se creó la cuenta, consultando los detalles publicados en Propiedades de eventos. Si la cuenta de usuario es una cuenta de usuario local, el campo Dominio de la cuenta contendrá el nombre del dispositivo desde el que se creó.