Cómo detectar quién creó una cuenta de usuario en Active Directory
Un usuario, con los permisos de cuenta adecuados, puede realizar casi cualquier cambio en el entorno de Active Directory (AD). Ahora imagine un escenario donde un intruso crea una nueva cuenta de usuario y agrega a este usuario a un grupo privilegiado. Este usuario puede obtener acceso ilimitado a datos confidenciales, dependiendo del grupo al que se agregaron. Es por eso que es crucial rastrear todas las cuentas de usuario recién creadas en su organización. Siga leyendo para descubrir cómo.
Descubra quién creó una cuenta de usuario con PowerShell:
Realice las siguientes acciones en el controlador de dominio (DC):
- Haga clic en Inicio, busque Windows PowerShell, haga clic derecho y seleccione Ejecutar como administrador.
- Escriba la siguiente secuencia de comandos en la consola: Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4720} | Select-Object -Property *
- Presione Entrar.
- Esta secuencia de comandos mostrará las propiedades de Event ID 4720, que se registra cuando se crea una cuenta de usuario. En la salida, en Mensaje → Asunto, se puede ver el nombre de la cuenta y el ID de seguridad del usuario que creó el usuario objetivo.
Nota: Si está utilizando una estación de trabajo, la siguiente secuencia de comandos debe ejecutarse en PowerShell:
Get-EventLog -LogName Security -ComputerName <DC name>| Where-Object {$_.EventID -eq 4720} | Select-Object -Property *
donde <nombre del DC> es el nombre del DC donde se creó el usuario.
El método anterior para ver el evento de creación de usuarios es laborioso y requiere mucho tiempo. Una herramienta de auditoría de publicidad de terceros será una bendición para los administradores de TI que tienen que lidiar con miles de dispositivos y eventos registrados en cada dispositivo. ADAudit Plus de ManageEngine proporciona una plataforma centralizada para monitorear todos los cambios en su anuncio, incluidas las acciones de administración de usuarios, como la creación, eliminación y más.
Buscar quién creó una cuenta de usuario con ManageEngine ADAudit Plus:
- Descargue e instale ADAudit Plus.
- Las instrucciones para configurar la auditoría en el controlador de dominio se encuentran aquí.
- Abra la consola de ADAudit Plus e inicie sesión como administrador.
- Vaya a Informes → Active Directory → Administración de usuarios → Usuarios creados recientemente.
Esto le mostrará una lista de cuentas de usuario creadas recientemente, incluyendo detalles sobre la hora de creación, el DC donde se realizó la acción y más.
Ventajas de usar ADAudit Plus sobre la auditoría nativa:
- Monitoree e informe sobre cada fase del ciclo de vida de una cuenta de usuario, es decir, la creación, modificación y eliminación de usuarios.
- Proteja los archivos críticos de su organización supervisando todo el acceso a los archivos y automatizando las respuestas a accesos injustificados.
- Vea contraseñas recientemente establecidas y cambiadas para sus usuarios críticos. Además, solucione los bloqueos repetidos de cuentas con nuestro analizador de bloqueos de cuentas.