Cómo detectar quién habilitó una cuenta de usuario en Active Directory
Una cuenta de usuario deshabilitada podría ser habilitada y utilizada indebidamente por agentes maliciosos. Por eso es esencial que los administradores de TI auditen su entorno de AD en tiempo real utilizando la auditoría nativa de Active Directory o herramientas de terceros. Esto puede ayudarles a identificar al usuario que habilitó la cuenta de usuario. A continuación se detallan los pasos para encontrar quién habilitó una cuenta de usuario en Active Directory
Esto puede ayudarles a identificar al usuario que activó la cuenta de usuario mediante PowerShell.
Realice las siguientes acciones en el controlador de dominio (DC):
- Haga clic en Inicio, busque Windows PowerShell, haga clic con el botón derecho y seleccione Ejecutar como administrador.
- Escriba la siguiente secuencia de comandos en la consola: Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4722} | Select-Object -Property *
- Presione Introducir.
- Este script mostrará las cuentas de usuario habilitadas. En la salida, en Mensaje → Sujeto → Nombre de la cuenta, se puede encontrar el nombre y el ID de seguridad del usuario que habilitó la cuenta de usuario de destino.
Nota: Si está utilizando una estación de trabajo, el siguiente script debe ejecutarse en PowerShell:
Get-EventLog -LogName Security -ComputerName <DC name>| Where-Object {$_.EventID -eq 4722} | Select-Object -Property *
donde <DC name> es el nombre del controlador de dominio en el que desea comprobar los detalles de la cuenta de usuario que se habilitó.
Mediante la auditoría nativa, puede buscar eventos y vigilar los cambios realizados en los objetos de usuario. Sin embargo, esto se vuelve poco práctico cuando tienes que tratar con cientos de cuentas de usuario y necesitas hacer un seguimiento de cada evento a medida que se produce.
ADAudit Plus es un software de auditoría de Active Directory en tiempo real que ayuda a obtener visibilidad de los cambios realizados en los objetos de AD y sus atributos. Supervise cada fase del ciclo de vida de una cuenta de usuario junto con los detalles sobre quién la inició, desde dónde y cuándo.
Identifique fácilmente quién habilitó las cuentas de usuario en unos pocos clics con ADAudit Plus
- Abra la Consola ADAudit Plus, e inicie sesión como administrador.
- Vaya a Reports → Active Directory → User Management → Recently Enabled Users.
1
Descubra quién habilitó una cuenta de usuario en Active Directory, cuándo y desde dónde.
2
Otros informes sobre cuentas de usuario creadas, eliminadas, movidas y bloqueadas recientemente lo ayudan a obtener más información sobre sus cuentas de usuario de AD.
Descubra quién habilitó una cuenta de usuario en Active Directory, cuándo y desde dónde.
Otros informes sobre cuentas de usuario creadas, eliminadas, movidas y bloqueadas recientemente lo ayudan a obtener más información sobre sus cuentas de usuario de AD.
Ventajas de usar ADAudit Plus sobre la auditoría nativa:
- Supervise e informe sobre cada fase del ciclo de vida de los objetos AD y cubra todas las bases de su entorno AD.
- Detecte comportamientos anómalos entre los usuarios con el motor de análisis del comportamiento de los usuarios (UBA, User Behavior Analytics). Por ejemplo, un volumen inusualmente alto de actividad de gestión de usuarios, fallos de inicio de sesión o intentos fallidos de acceso a archivos podrían indicar la existencia de riesgos.
- Identifique el motivo de los bloqueos de cuentas y resuélvalos más rápidamente con el Analizador de bloqueos de cuentas.
¿Le supone un reto la auditoría AD?
- Supervisar los inicios de sesión de los usuarios
- Realizar un seguimiento de los cambios en las GPO, los usuarios, etc.
- Averigua quién hizo qué, cuándo y dónde