locked
criacao de usuario RRS feed

  • Pergunta

  • Pessoal

    Preciso saber quem criou um determinado usuario em meu AD, porem o log de segurança ja foi reescrito.

    Esta informação fica guardada em algum lugar do AD ?

    Se eu utilizar uma ferramento do tipo ldp.exe consigo ver quem criou ?

    bjs

    terça-feira, 21 de novembro de 2006 19:22

Respostas

  • Ana,

    Através do eventviewer do seu AD no log de security procure pelo evento 624, caso você possua mais de um domain controler utilize o Event Comb MT (disponível para download neste link: http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=7af2e69c-91f3-4e63-8629-b999adde0b9e) para facilitar a sua pesquisa.

    Você consiguirá mais informações no "Guia de Planejamento de Monitoramento de Segurança e Detecção de Ataques" disponibilizado pela Microsoft (http://www.microsoft.com/brasil/security/guidance/attackdetection/smpgch01.mspx)

    Já lhe adiantando segue alguns eventos e ao que es~tão relacionados.

    Tabela 4.3: Eventos de alteração de conta de usuário

    Identificações de eventos Ocorrência Comentários

    624

    Criando uma conta de usuário

    Somente as pessoas e os processos autorizados devem criar contas de rede. Examine o campo Nome de Usuário Primário para detectar se uma pessoa ou um processo autorizados criou uma conta. Esse evento também detecta se os administradores criam contas fora das diretrizes da diretiva organizacional.

    630

    Excluindo uma conta de usuário

    Somente as pessoas e os processos autorizados devem excluir contas de rede. Pesquise esses eventos e examine o campo Nome de Usuário Primário para detectar se contas foram excluídas por pessoas não autorizadas.

    642

    Alterando uma conta de usuário

    Esse evento registra as alterações feitas em propriedades relacionadas com segurança de contas de usuário não abrangidas pelos eventos 627-630.

    685

    Alterando um nome de conta

    Verifique se o Nome da Conta Primária corresponde a uma pessoa ou a um processo autorizados.

     

     

    Não esqueça se este post lhe foi util marque-o como resposta.

     

    Abraços,

    • Sugerido como Resposta Márcio Ferroni quarta-feira, 11 de agosto de 2010 18:07
    • Marcado como Resposta Sandro Zamboni sexta-feira, 14 de janeiro de 2011 17:34
    terça-feira, 21 de novembro de 2006 22:31