Hur man hittar vem som skapade ett AD-konto med PowerShell och ADAudit Plus

Steg att ta för att erhålla en rapport om användarkonto i Windows PowerShell

• Definiera den domän där rapporten ska genereras från.
• Definiera namnen på UPN och sAMaccount för det nyligen skapade kontot.
• Definiera domänkontrollanten att hämta rapporten från.
• Kör skriptet.

Hitta den användare som skapade ett konto

Kod:

$dcs = Get-ADDomainController -Filter {Name -like "*"} $upn = 'sometext@gmail.com' Get-WinEvent -FilterHashtable @{LogName='Security';Id=4720} | Where-Object { $_.Message -match "user principal name:\s+$upn" } | Select-Object -Expand Message | Select-String '(?<=subject:\s+security id:\s+\S+\s+account name:\s+)\S+' | Select-Object -Expand Matches | Select-Object -Expand Value $exportFilePath = "c:\scripts\lastLogon.csv" $columns = "username,datetime" Out-File -filepath $exportFilePath -force -InputObject $columns

Steg att ta för att erhålla en rapport om användarhantering i ADAudit Plus

• Logga in på ADAudit Plus-webbkonsol med hjälp av administratörsautentiseringsuppgifter. Välj fliken "Rapporter" och navigera till panelen "Användarhantering" på vänster sida.
• Välj rapporten "Nyligen skapade användare". I det avancerade sökfiltret väljer du "SAM-konto" 'is' 'account_name'
• Under kolumnen "Användarnamn på anropare" kan du visa vem som har skapat kontot.
• Du kan också välja att skapa denna rapport i önskat format (CSV, HTML, XLS, PDF) med hjälp av exportalternativet.

Skärmbild