您的位置: 首页  >  文章  >  如何审核Active Directory中的用户帐户更改

如何审核Active Directory中的用户帐户更改

分类: 文章 2022-10-23 20:29:50

Active Directory中跟踪用户帐户更改将有助于您确保IT环境的安全和合规性。在考虑用户帐户时,可能会有许多不同的更改需要注意。例如具有大量权限的新用户,删除的用户帐户,启用或禁用的用户帐户等等。如果用户出于恶意目的进行了这些更改,则可能会导致数据泄漏。您可以通过持续监视不需要的或未经授权的用户帐户更改来防止此类内部威胁。在本文中,您将学习如何在本地和使用Lepide Active Directory Auditor来审核Active Directory中的用户帐户更改。

步骤1用户帐户管理审核策略

执行以下步骤以启用用户帐户管理审核策略:

  1. 转到管理工具,然后在主域控制器上打开组策略管理控制台。
  2. 组策略管理中,创建一个新的GPO或编辑一个现有的GPO。建议创建一个新的GPO,将其链接到域并进行编辑。
  3. 要创建新的GPO,请在左侧面板中右键单击域名,然后单击在此域中创建GPO,然后在此处链接。它在屏幕上显示“ New GPO”窗口。提供一个名称(在本例中为用户帐户管理),然后单击确定
  4. 新的GPO出现在左窗格中。右键单击它,然后在上下文菜单中单击编辑。屏幕上出现组策略管理编辑器
  5. 在此窗口中,您必须设置审核用户帐户管理策略。为此,请导航至计算机配置“ Windows设置安全设置高级审核策略配置审核策略
  6. 选择帐户管理策略以列出其所有子策略。双击审核用户帐户管理策略以打开其属性窗口

注意:建议不要在高级审核策略配置中配置以上策略,而不配置本地策略。这是因为您必须在本地策略中启用所有帐户管理策略,这将生成大量事件日志。为了将噪声降至最低,应首选高级审核策略配置

如何审核Active Directory中的用户帐户更改1审核用户帐户管理策略
 

  1. 在策略属性中,单击以选中定义这些策略设置复选框。然后,选择成功失败尝试复选框。您可以根据需要选择一个或两个选项。在我们的案例中,我们要选择两个选项,因为我们要审核成功和失败的尝试。如何审核Active Directory中的用户帐户更改2审核用户帐户管理策略的属性
     
  2. 单击应用,然后单击确定以关闭属性窗口。
  3. 建议立即更新组策略,以便可以将新更改应用于整个域。在命令提示符中运行以下命令:

Gpupdate / force
在下图中,您可以看到“ Gpupdate”命令正在运行。

如何审核Active Directory中的用户帐户更改3:更新组策略
 

步骤2:通过事件查看器跟踪用户帐户更改

要跟踪Active Directory中用户帐户的更改,请打开“ Windows事件查看器,然后转到“ Windows日志安全性。使用右窗格中的筛选当前日志选项查找相关事件。

以下是与用户帐户管理相关的一些事件:

  1. 事件ID 4720显示已创建用户帐户。
  2. 事件ID 4722显示已启用用户帐户。
  3. 事件ID 4740显示用户帐户已被锁定。
  4. 事件ID 4725显示用户帐户已禁用。
  5. 事件ID 4726显示用户帐户已删除。
  6. 事件ID 4738显示用户帐户已更改。
  7. 事件ID 4781显示帐户名称已更改。

在我们的实验室环境中,我们启用了禁用的用户帐户。下图显示了事件的属性窗口的屏幕截图(事件ID 4722)。启用帐户的用户名显示在主题帐户名字段中,而帐户启用时间显示在已记录字段中。

如何审核Active Directory中的用户帐户更改4:已启用用户帐户
 

要查看已启用帐户的用户名,您必须向下滚动事件的属性窗口的侧栏。在下图中,您可以在目标帐户帐户名称字段下看到用户的名称。

如何审核Active Directory中的用户帐户更改5:启用了帐户的用户名

 

相关推荐