1 votos

¿Cómo saber qué usuario o proceso creó o desactivó un usuario o grupo de AD?

Desde Windows Active Directory Usuarios y Grupos. Puedo ver cuándo se modificó un usuario o grupo. Desde System Internals también puedo ver cuándo se creó. ¿Hay alguna manera de saber qué usuario creó el objeto o qué usuario o proceso lo deshabilitó realmente?

En este caso particular, fue creado hace más de un año y modificado por última vez hace unas semanas.

0voto

Daniel Puntos 834

Debes habilitar el registro de auditoría en la configuración de seguridad y escanear eventos

Las claves Subject* te indican la cuenta que solicitó el cambio.

Hay más registros de eventos que debes vigilar, no los voy a listar aquí. Encontrarás una lista completa aquí:

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X