none
Кто создал учетку? RRS feed

  • Вопрос

  • Коллеги, подскажите пож-то как можно получить данные о создании уч записи в домене 2003?

    При запросе через shell выдает, что domain admins, а нам нужно узнать кто именно из админов.

Ответы

Все ответы

  • Вам нужно искать в логах

    Если учетка была создана недавно то найти это можно, если 2-3 года назад то скорее всего у вас это сделать не получится

    Модератор
  • Вам нужно искать в логах

    Если учетка была создана недавно то найти это можно, если 2-3 года назад то скорее всего у вас это сделать не получится

    я понимаю что в логах, как выдернуть кто именно это сделал?
  • Что вы подразумеваете под выдернуть?

    У меня под руками 2003 дк нет так что привести скрин и перепроверить не могу

    на 2008р2 это выглядит так же как в этой статье

    http://social.technet.microsoft.com/wiki/contents/articles/17055.event-ids-when-a-new-user-account-is-created-on-active-directory.aspx

    У вас соответственно события будут под другими номерами

    Номера ваших событий описаны в этой статье

    https://technet.microsoft.com/en-us/library/cc737542%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    Основное событие 624 в журнале безопасности

    Но после события 624 будет еще пара событий изменения настроек пользователя (1 реальное событие сопровождается 3-4 записями в журнале)

    • Предложено в качестве ответа Igor Chulkov 5 июня 2015 г. 11:23
    • Помечено в качестве ответа Vector BCOModerator 25 августа 2015 г. 8:54
    Модератор
  • Что вы подразумеваете под выдернуть?

    У меня под руками 2003 дк нет так что привести скрин и перепроверить не могу

    на 2008р2 это выглядит так же как в этой статье

    http://social.technet.microsoft.com/wiki/contents/articles/17055.event-ids-when-a-new-user-account-is-created-on-active-directory.aspx

    У вас соответственно события будут под другими номерами

    Номера ваших событий описаны в этой статье

    https://technet.microsoft.com/en-us/library/cc737542%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    Основное событие 624 в журнале безопасности

    Но после события 624 будет еще пара событий изменения настроек пользователя (1 реальное событие сопровождается 3-4 записями в журнале)


    Под выдернуть я имел ввиду получить запись КТО создал учетку.
    5 июня 2015 г. 11:19
  • Ув. chellout не нужно нервничать

    Я вам привел конкретные статьи со скриншотами показывающими где можно увидеть "КТО создал учетку"

    Если вы считаете что я вам дал не ту информацию, или не в том объеме, или не в том контексте то потрудитесь пояснить другими словами с примерами со скриншотами, и тд пояснить чего же вам надобно

    От того что вы повторите фразу "получить запись КТО создал учетку" 10 раз в конструктивный разговор наша переписка не перейдет

    А теперь по теме:

     1) Вы посмотрели приведенные ссылки?

     2) У вас есть события 624 как приведено мной в сообщении?

     3) Если есть. то есть ли там поля сходные с полями сходными со статьей 1?

     4) Если есть. то есть ли там значения которые вам требуются или иные значения?

     5) Есть ли события которые следуют за событием 624 с участием требуемой вам уз?

     6) Есть ли в смежных событиях упоминание про человека создавшего уз?

    На 2008р2 событие имеет вид такой как в первой статье (я перепроверил)

    Поле Caller User Name: в сообщении есть?


    ПС будет круто получить ответ более чем в одну строчку, и более содержательный нежели предыдущий

    ППС Вопрос был про то хотите вы найти это событие в журнале, или скриптом, или еще каким методом, так как у вас в первоначальном вопросе упоминалось что вы пробовали что то делать "через shell"

    5 июня 2015 г. 11:34
    Модератор
  • Ув. chellout не нужно нервничать

    Я вам привел конкретные статьи со скриншотами показывающими где можно увидеть "КТО создал учетку"

    Если вы считаете что я вам дал не ту информацию, или не в том объеме, или не в том контексте то потрудитесь пояснить другими словами с примерами со скриншотами, и тд пояснить чего же вам надобно

    От того что вы повторите фразу "получить запись КТО создал учетку" 10 раз в конструктивный разговор наша переписка не перейдет

    А теперь по теме:

     1) Вы посмотрели приведенные ссылки?

     2) У вас есть события 624 как приведено мной в сообщении?

     3) Если есть. то есть ли там поля сходные с полями сходными со статьей 1?

     4) Если есть. то есть ли там значения которые вам требуются или иные значения?

     5) Есть ли события которые следуют за событием 624 с участием требуемой вам уз?

     6) Есть ли в смежных событиях упоминание про человека создавшего уз?

    На 2008р2 событие имеет вид такой как в первой статье (я перепроверил)

    Поле Caller User Name: в сообщении есть?


    ПС будет круто получить ответ более чем в одну строчку, и более содержательный нежели предыдущий

    ППС Вопрос был про то хотите вы найти это событие в журнале, или скриптом, или еще каким методом, так как у вас в первоначальном вопросе упоминалось что вы пробовали что то делать "через shell"

    Ув. Вектор, я и не думал нервничать- с чего Вы взяли. За статьи спасибо. К сожалению отсутствовал 2 недели, буду разбираться дальше...Да забыл указать, в данный момент КД и 2003 и 2012.

    22 июня 2015 г. 3:30
  • Попробуйте поискать события на 2012

    22 июня 2015 г. 6:16
    Модератор