Hur man upptäcker vem som skapade ett användarkonto i Active Directory
Starta din kostnadsfria provperiodEn användare med de rätta kontobehörigheterna kan göra nästan alla ändringar till Active Directory-miljön (AD). Föreställ dig nu ett scenario där en inkräktare skapar ett nytt användarkonto och lägger till denna användare i en privilegierad grupp. Beroende på vilken grupp användaren lades till i kan användaren få obegränsad tillgång till känsliga data. Det är därför det är så viktigt att spåra alla nyligen skapade användarkonton i din organisation. Läs vidare för att få reda på hur.
Få reda på vem som skapade ett användarkonto med hjälp av PowerShell:
Utför de följande åtgärderna i domänkontrollanten (DC):
- Tryck på Start, sök efter Windows PowerShell, högerklicka på den och välj Kör som administratör.
- Skriv in följande skript i konsolen: Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4720} | Select-Object -Property *
- Tryck på Enter.
- Detta skript kommer att visa egenskaperna för händelse-ID 4720, vilket loggas när ett användarkonto skapas. I utmatningen, under Meddelande → Ämne, kan man se kontonamnet och säkerhets-ID:t för användaren som skapade målanvändaren.
OBS! Om du använder en arbetsstation ska följande skript köras på PowerShell:
Get-EventLog -LogName Security -ComputerName <DC name>| Where-Object {$_.EventID -eq 4720} | Select-Object -Property *
där <DC name> är namnet på den DC där användaren skapades.
Den ovanstående metoden för att visa händelse för skapande av användare är krånglig och tidskrävande. Ett AD-granskningsverktyg från tredjepart kommer att vara en välsignelse för IT-systemadministratörer som måste hantera tusentals enheter och händelser som loggas på varje enhet. ADAudit Plus i ManageEngine tillhandahåller en centraliserad plattform för att övervaka alla ändringar i din AD, inklusive användarhanteringsåtgärder som skapande, borttagning med mera.
Få reda på vem som skapade ett användarkonto med hjälp av ManageEngine ADAudit Plus:
- Ladda ned och installera ADAudit Plus.
- Steg om hur du konfigurerar granskning av din domänkontrollant finns här.
- Öppna ADAudit Plus-konsolen och logga in som administratör.
- Navigera till Rapporter → Active Directory → Användarhantering → Nyligen skapade användare.
Detta kommer att visa dig en lista över nyligen skapade användarkonton, inklusive detaljer om tidpunkten för skapande, DC där åtgärden utfördes med mera.
Fördelar med att använda ADAudit Plus jämfört med inbyggd granskning:
- Övervaka och rapportera om varje fas i livscykeln för ett användarkonto, t.ex. skapande, modifiering och borttagning av användare.
- Skydda kritiska filer i din organisation genom att övervaka all filåtkomst och automatisera respons på omotiverad åtkomst.
- Visa nyligen inställda och ändrade lösenord för dina kritiska användare. Felsök dessutom upprepade kontoutelåsningar med hjälp av vårt analysverktyg för kontoutelåsning.