Wie finde ich heraus, wer einen Benutzer erstellt hat?
Suchen Sie nach der Ereignis-ID 4720: Ein Benutzerkonto wurde erstellt:
4720: Ein Benutzerkonto wurde erstellt
Der durch Betreff identifizierte Benutzer: Der durch "Neuer Account" identifizierte Benutzer wurde erstellt.
Attribute zeigen einige Eigenschaften an, die zum Zeitpunkt der Kontoerstellung festgelegt wurden. Das Benachrichtigungskonto ist zunächst deaktiviert.
Dieses Ereignis wird sowohl für lokale SAM-Konten als auch für Domänenkonten protokolliert.
Nach diesem Ereignis werden eine Reihe weiterer Benutzerkontenverwaltungsereignisse angezeigt, wenn die verbleibenden Eigenschaften festgelegt, das Kennwort festgelegt und das Konto endgültig aktiviert wird.
Betreff :
Die Benutzer- und Anmeldesitzung, die die Aktion ausgeführt hat.
- Sicherheits-ID: Die SID des Kontos.
- Kontoname: Der Anmeldename des Kontos.
- Kontodomäne: Die Domäne oder - bei lokalen Konten - Computername.
- Anmelde-ID ist eine semi-eindeutige Nummer (eindeutig zwischen Neustarts), die die Anmeldesitzung identifiziert. Mit der Anmelde-ID können Sie rückwärts mit dem Anmeldeereignis (4624) sowie mit anderen Ereignissen korrelieren, die während derselben Anmeldesitzung protokolliert wurden.
Eine vollständige Liste der Kategorien und Unterkategorien für die Veranstaltung finden Sie unten.
Quelle 4720: Ein Benutzerkonto wurde erstellt
Wie erfahre ich, wer einen Benutzer zur lokalen Gruppe der Administratoren hinzugefügt hat?
Suchen Sie nach der Ereignis-ID 4732: Ein Mitglied wurde einer lokalen Gruppe mit aktivierter Sicherheit hinzugefügt:
4732: Ein Mitglied wurde einer lokalen Gruppe mit aktivierter Sicherheit hinzugefügt
Der Benutzer im Betreff: Der Benutzer / die Gruppe / der Computer in Member: wurde der Gruppe Security Local in Group: hinzugefügt.
Dieses Ereignis wird auf Domänencontrollern für lokale Gruppen der Active Directory-Domäne und Mitgliedscomputer für lokale SAM-Gruppen protokolliert. Sie können feststellen, ob es sich bei der Gruppe um eine Domäne oder SAM-Gruppe handelt, indem Sie Gruppendomäne: mit dem Namen Computer: vergleichen. Wenn sie übereinstimmen, verfügen Sie über eine SAM-Gruppe. Wenn sie sich unterscheiden, verfügen Sie über eine Domänengruppe.
Active Directory
- In Active Directory-Benutzern und -Computern werden "Sicherheitsaktivierte" Gruppen einfach als Sicherheitsgruppen bezeichnet. AD hat zwei Arten von Gruppen: Sicherheit und Verteilung. Verteilergruppen (mit deaktivierter Sicherheit) gelten für Verteilerlisten in Exchange und können nicht mit Berechtigungen oder Rechten versehen werden. Sicherheitsgruppen (sicherheitsaktiviert) können für Berechtigungen, Rechte und als Verteilerlisten verwendet werden. Eine lokale Domänengruppe bedeutet, dass der Gruppe nur Zugriff auf Objekte innerhalb ihrer Domäne gewährt werden kann, Mitglieder jedoch aus jeder vertrauenswürdigen Domäne stammen können.
Lokale SAM
- Alle Gruppen sind Sicherheitsgruppen in der SAM des Computers. Lokale SAM-Gruppen können nur Zugriff auf Objekte auf dem lokalen Computer erhalten, können jedoch Mitglieder der lokalen SAM und einer beliebigen vertrauenswürdigen Domäne enthalten.
Betreff :
Die Benutzer- und Anmeldesitzung, die die Aktion ausgeführt hat.
- Sicherheits-ID: Die SID des Kontos.
- Kontoname: Der Anmeldename des Kontos.
- Kontodomäne: Die Domäne oder - bei lokalen Konten - Computername.
- Anmelde-ID ist eine semi-eindeutige Nummer (eindeutig zwischen Neustarts), die die Anmeldesitzung identifiziert. Mit der Anmelde-ID können Sie rückwärts mit dem Anmeldeereignis (4624) sowie mit anderen Ereignissen korrelieren, die während derselben Anmeldesitzung protokolliert wurden.
Eine vollständige Liste der Kategorien und Unterkategorien für die Veranstaltung finden Sie unten.
Quelle 4732: Ein Mitglied wurde einer lokalen Gruppe mit aktivierter Sicherheit hinzugefügt