Ana,
Através do eventviewer do seu AD no log de security procure pelo evento 624, caso você possua mais de um domain controler utilize o Event Comb MT (disponível para download neste link: http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=7af2e69c-91f3-4e63-8629-b999adde0b9e) para facilitar a sua pesquisa.
Você consiguirá mais informações no "Guia de Planejamento de Monitoramento de Segurança e Detecção de Ataques" disponibilizado pela Microsoft (http://www.microsoft.com/brasil/security/guidance/attackdetection/smpgch01.mspx)
Já lhe adiantando segue alguns eventos e ao que es~tão relacionados.
Tabela 4.3: Eventos de alteração de conta de usuário
|
624
|
Criando uma conta de usuário
|
Somente as pessoas e os processos autorizados devem criar contas de rede. Examine o campo Nome de Usuário Primário para detectar se uma pessoa ou um processo autorizados criou uma conta. Esse evento também detecta se os administradores criam contas fora das diretrizes da diretiva organizacional. |
|
630
|
Excluindo uma conta de usuário
|
Somente as pessoas e os processos autorizados devem excluir contas de rede. Pesquise esses eventos e examine o campo Nome de Usuário Primário para detectar se contas foram excluídas por pessoas não autorizadas. |
|
642
|
Alterando uma conta de usuário |
Esse evento registra as alterações feitas em propriedades relacionadas com segurança de contas de usuário não abrangidas pelos eventos 627-630. |
|
685 |
Alterando um nome de conta |
Verifique se o Nome da Conta Primária corresponde a uma pessoa ou a um processo autorizados. |
Não esqueça se este post lhe foi util marque-o como resposta.
Abraços,
