Вход в Windows при создании учетной записи локального пользователя

Как узнать, кто создал пользователя?

Найдите событие с кодом 4720: была создана учетная запись пользователя:

4720: учетная запись пользователя была создана

• Пользователь, указанный в теме: создал пользователя, указанного в новой учетной записи:.

• Атрибуты показывают некоторые свойства, которые были установлены во время создания учетной записи. Обратите внимание, что аккаунт изначально отключен.

• Это событие регистрируется как для локальных учетных записей SAM, так и для учетных записей домена.

• После этого события вы увидите ряд других событий управления учетными записями пользователей, поскольку оставшиеся свойства будут выбиты, пароль установлен и, наконец, учетная запись включена.

Тема:

Пользователь и сеанс входа, который выполнил действие.

• Идентификатор безопасности: SID учетной записи.
• Имя учетной записи: имя для входа в учетную запись.
• Домен учетной записи: домен или - в случае локальных учетных записей - имя компьютера.
• Идентификатор входа - это полууникальный (уникальный между перезагрузками) номер, который идентифицирует сеанс входа. Идентификатор входа в систему позволяет вам коррелировать в обратном направлении к событию входа в систему (4624), а также к другим событиям, зарегистрированным во время того же сеанса входа в систему.

См. Ссылку на источник ниже для получения полного списка категорий и подкатегорий для мероприятия.

Источник 4720: учетная запись пользователя была создана

Как узнать, кто добавил пользователя в локальную группу администраторов?

Найдите событие с кодом 4732: участник был добавлен в локальную группу с включенной безопасностью:

4732: участник был добавлен в локальную группу с включенной безопасностью

• Пользователь в Subject: добавил пользователя / группу / компьютер в Member: в локальную группу безопасности в Group:.

• Это событие регистрируется на контроллерах домена для локальных групп домена Active Directory и на компьютере-члене для локальных групп SAM. Вы можете определить, является ли группа доменом или группой SAM, сравнив Group Domain: с именем Computer:. Если они совпадают, у вас есть группа SAM, если они различаются, у вас есть группа домена.

Active Directory

• В Active Directory "Пользователи и компьютеры" группы "Безопасность включена" просто называются группами безопасности. AD имеет 2 типа групп: безопасность и распространение. Группы рассылки (защита отключена) предназначены для списков рассылки в Exchange, и им не могут быть назначены разрешения или права. Группы безопасности (с включенной защитой) можно использовать для разрешений, прав и в качестве списков рассылки. Локальная группа домена означает, что группе может быть предоставлен доступ только к объектам в ее домене, но она может иметь членов из любого доверенного домена.

Локальный SAM

• Все группы являются группами безопасности в SAM компьютера. Локальным группам SAM можно предоставить доступ только к объектам на локальном компьютере, но они могут иметь членов из локального SAM и любого доверенного домена.

Тема:

Пользователь и сеанс входа, который выполнил действие.

• Идентификатор безопасности: SID учетной записи.
• Имя учетной записи: имя для входа в учетную запись.
• Домен учетной записи: домен или - в случае локальных учетных записей - имя компьютера.
• Идентификатор входа - это полууникальный (уникальный между перезагрузками) номер, который идентифицирует сеанс входа. Идентификатор входа в систему позволяет вам коррелировать в обратном направлении к событию входа в систему (4624), а также к другим событиям, зарегистрированным во время того же сеанса входа в систему.

См. Ссылку на источник ниже для получения полного списка категорий и подкатегорий для мероприятия.

Источник 4732: участник был добавлен в локальную группу с включенной безопасностью

Дальнейшее чтение

• События журнала безопасности Windows