題 Windows是否在創建本地用戶帳戶時進行記錄


我想知道當創建新用戶帳戶然後將其添加到管理員本地組時,Windows是否記住或記錄(可能是事件查看器)。

恩.. 網絡帳戶用戶在名為的計算機上創建本地用戶 anonuser 然後通過命令行將其添加到管理員本地組。  如果另一個用戶想知道誰創建了 anonuser 這可以完成嗎?


3
2018-03-10 19:15


起源




答案:


如何找出誰創建了用戶?

查找事件ID 4720:已創建用戶帳戶:

4720:創建了用戶帳戶

  • 主題標識的用戶:創建了由新帳戶標識的用戶:

  • 屬性顯示創建帳戶時設置的一些屬性。通知帳戶最初被禁用。

  • 本地SAM帳戶和域帳戶都會記錄此事件。

  • 在此事件之後,您將看到一系列其他用戶帳戶管理事件,因為其他屬性已被打破,密碼已設置   帳戶終於啟用了。

學科

執行操作的用戶和登錄會話。

  • 安全ID:帳戶的SID。
  • 帳戶名稱:帳戶登錄名稱。
  • 帳戶域:域或 - 如果是本地帳戶 - 計算機名稱。
  • 登錄ID是標識登錄會話的半唯一(重新啟動之間唯一)編號。登錄ID允許您關聯   返回登錄事件(4624)以及其他事件   在同一登錄會話期間記錄。

請參閱下面的源鏈接,以獲取該事件的類別和子類別的完整列表。

資源 4720:創建了用戶帳戶


如何找出誰為管理員本地組添加了用戶?

查找事件ID 4732:已將成員添加到啟用安全性的本地組:

4732:已將成員添加到啟用安全性的本地組

  • 主題中的用戶:將Member:中的用戶/組/計算機添加到Group:中的Security Local組。

  • 此事件記錄在Active Directory域本地組的域控制器和本地SAM組的成員計算機上。您可以   通過比較Group確定該組是域還是SAM組   域:到計算機:名稱。如果匹配,則您擁有SAM組,如果   他們不同,你有一個域組。

活動目錄

  • 在Active Directory用戶和計算機中,“已啟用安全性”組簡稱為“安全組”。 AD有兩種類型的組:   安全和分配。分發(安全性已禁用)組   對於Exchange中的通訊組列表,無法分配權限   或權利。可以使用安全性(已啟用安全性)組   權限,權限和分發列表。域本地組   表示只能授予組訪問其中的對象的權限   域,但可以擁有來自任何受信任域的成員。

本地SAM

  • 所有組都是計算機SAM中的安全組。可以僅授予本地SAM組對本地計算機上的對象的訪問權限   可能有來自本地SAM和任何受信任域的成員。

學科

執行操作的用戶和登錄會話。

  • 安全ID:帳戶的SID。
  • 帳戶名稱:帳戶登錄名稱。
  • 帳戶域:域或 - 如果是本地帳戶 - 計算機名稱。
  • 登錄ID是標識登錄會話的半唯一(重新啟動之間唯一)編號。登錄ID允許您關聯   返回登錄事件(4624)以及其他事件   在同一登錄會話期間記錄。

請參閱下面的源鏈接,以獲取該事件的類別和子類別的完整列表。

資源 4732:已將成員添加到啟用安全性的本地組


進一步閱讀


5
2018-03-10 20:45



假設所有事件查看器日誌都被永久擦除。是否仍然可以發現誰創造了 anonuser? - Beall619
@ Beall619在那種情況下,我不這麼認為。 - DavidPostill♦
棒極了。 - Beall619