Apoyo
 
Nosotros: + 1888 720 9500
Estados Unidos: +1888791 1189
Internacional: +1925924 9500
Aus: +1800 631268
Reino Unido: 0800 028 6590
CN: +86400660 8680

Marcación interna directa: +1 408 916 9892

 

Cómo detectar quién creó una cuenta de usuario en Active Directory

Comienza tu prueba gratuita

Un usuario, con los permisos de cuenta adecuados, puede realizar casi cualquier cambio en el entorno de Active Directory (AD). Ahora imagine un escenario en el que un intruso crea una nueva cuenta de usuario y agrega a este usuario a un grupo privilegiado. Este usuario puede obtener acceso sin restricciones a datos confidenciales, según el grupo al que se agregó. Por eso es fundamental realizar un seguimiento de todas las cuentas de usuario creadas recientemente en su organización. Siga leyendo para descubrir cómo.

Descubra quién creó una cuenta de usuario con PowerShell:

Realice las siguientes acciones en el controlador de dominio (DC):

  1. Presione Inicio , busque Windows PowerShell , haga clic con el botón derecho en él y seleccione Ejecutar como administrador .
  2. Escriba el siguiente script en la consola: Get-EventLog -LogName Security | Where-Object {$ _. EventID -eq 4720} | Seleccionar-Objeto-Propiedad *
  3. Presione Entrar .
Cómo auditar el seguimiento del proceso
  1. Este script mostrará las propiedades del Id. De evento 4720, que se registra cuando se crea una cuenta de usuario. En el resultado, en Mensaje → Asunto , se puede ver el Nombre de la cuenta y el ID de seguridad del usuario que creó el usuario de destino.

Nota : Si está utilizando una estación de trabajo, la siguiente secuencia de comandos debe ejecutarse en PowerShell:

Get-EventLog -LogName Security -ComputerName <nombre de DC> | Where-Object {$ _. EventID -eq 4720} | Seleccionar-Objeto-Propiedad *

donde <nombre de DC> es el nombre del DC donde se creó el usuario.

Cómo detectar quién desbloqueó una cuenta de usuario

El método anterior para ver el evento de creación de usuarios es laborioso y requiere mucho tiempo. Una herramienta de auditoría de AD de terceros será una bendición para los administradores de sistemas de TI que tienen que lidiar con miles de dispositivos y eventos registrados en cada dispositivo. ADAudit Plus de ManageEngine proporciona una plataforma centralizada para monitorear todos los cambios en su AD, incluidas las acciones de administración de usuarios como la creación, eliminación y más.

Descubra quién creó una cuenta de usuario con ManageEngine ADAudit Plus:

  1. Descargue e instale ADAudit Plus.
  2. Encuentre los pasos para configurar la auditoría en su controlador de dominio aquí .
  3. Abra la consola ADAudit Plus e inicie sesión como administrador.
  4. Vaya a Informes → Active Directory → Gestión de usuarios → Usuarios creados recientemente.
Cómo detectar quién desbloqueó una cuenta de usuario

Esto le mostrará una lista de cuentas de usuario creadas recientemente, que incluye detalles sobre el momento de la creación, el DC donde se realizó la acción y más.

Ventajas de usar ADAudit Plus sobre la auditoría nativa:

  • Supervisar e informar sobre cada fase del ciclo de vida de una cuenta de usuario, es decir, la creación, modificación y eliminación de usuarios.
  • Proteja los archivos críticos de su organización supervisando todos los accesos a los archivos y automatizando las respuestas a los accesos injustificados.
  • Vea las contraseñas establecidas y modificadas recientemente para sus usuarios críticos. Además, solucione problemas de bloqueos repetidos de cuentas con nuestro analizador de bloqueo de cuentas.

ADAudit Plus cuenta con la confianza de