Cómo encontrar quién creó una cuenta de AD con PowerShell y ADAudit Plus

Pasos para obtener un informe de cuenta de usuario en Windows PowerShell

• Defina el dominio desde el que se debe generar el informe.
• Defina el nombre de UPN y sAMaccount para la cuenta recién creada.
• Defina el controlador de dominio del que se recuperará el informe.
• Ejecute el script.

Encontrar al usuario que creó una cuenta

Código:

$dcs = Get-ADDomainController -Filter {Name -like "*"}
    
    $upn = 'sometext@gmail.com'
    
    Get-WinEvent -FilterHashtable @{LogName='Security';Id=4720} |
    Where-Object { $_.Message -match "user principal name:\s+$upn" } |
    Mensaje select-object -expand |
    select-string '(?<=subject:\s+security id:\s+\S+\s+account name:\s+)\S+' |
    Select-Object -Expand Matches |
    Select-Object -Expand Value
    $exportFilePath = "c:\scripts\lastLogon.csv"
    $columns = "username,datetime"
    Out-File -filepath $exportFilePath -force -InputObject $columns
    

Pasos para obtener un informe de gestión de usuarios en ADAudit Plus

• Inicie sesión en la consola web de ADAudit Plus con la credencial de administrador. Seleccione la pestaña 'Reports' y vaya al panel 'User Management' a la izquierda.
• Seleccione el informe "Recently Created User". En el filtro de búsqueda avanzada, seleccione 'SAM account', 'is', 'account_name'
• En la columna "Caller Username", puede ver quién ha creado la cuenta.
• También puede optar por exportar este informe en el formato deseado (CSV, HTML, XLS, PDF) utilizando la opción de exportación.

Captura de pantalla