ローカルユーザーアカウントの作成時にWindowsはログを記録しますか
新しいユーザーアカウントが作成され、管理者のローカルグループに追加されたときに、Windowsが記憶するかログ(イベントビューアの場合もある)かどうかを知りたい。
例:ネットワークアカウントユーザーは、anonuserというマシン上にローカルユーザーを作成し、コマンドラインから管理者ローカルグループに追加します。別のユーザーが誰がanonuserを作成したか知りたい場合は、それを実行できますか?
ユーザーを作成したユーザーを確認するにはどうすればよいですか?
イベントID 4720を探します:ユーザーアカウントが作成されました:
4720:ユーザーアカウントが作成されました
件名:で識別されるユーザーが、新規アカウント:で識別されるユーザーを作成しました。
属性には、アカウントの作成時に設定されたいくつかのプロパティが表示されます。アカウントは最初無効になっています。
このイベントは、ローカルのSAMアカウントとドメインアカウントの両方でログに記録されます。
このイベントの後に、他の一連のユーザーアカウント管理イベントが表示されます。残りのプロパティはパンチダウンされ、パスワードが設定され、アカウントが最終的に有効になります。
件名:
アクションを実行したユーザーとログオンセッション。
- セキュリティID:アカウントのSID。
- アカウント名:アカウントのログオン名。
- アカウントドメイン:ドメイン、またはローカルアカウントの場合はコンピューター名。
- ログオンIDは、ログオンセッションを識別する半一意(再起動間で一意)の番号です。ログオンIDを使用すると、同じログオンセッション中に記録された他のイベントと同様に、ログオンイベント(4624)に逆相関させることができます。
イベントのカテゴリとサブカテゴリの完全なリストについては、以下のソースリンクを参照してください。
管理者ローカルグループにユーザーを追加したユーザーを確認するにはどうすればよいですか?
イベントID 4732を探します:メンバーがセキュリティが有効なローカルグループに追加されました:
4732:セキュリティが有効なローカルグループにメンバーが追加されました
件名:のユーザーが、メンバー:のユーザー/グループ/コンピューターをグループ:のセキュリティローカルグループに追加しました。
このイベントは、Active DirectoryドメインローカルグループのドメインコントローラーおよびローカルSAMグループのメンバーコンピューターに記録されます。 Group Domain:をComputer:の名前と比較することで、グループがドメインかSAMグループかを判別できます。それらが一致する場合、SAMグループがあり、異なる場合、ドメイングループがあります。
Active Directory
- Active Directoryユーザーとコンピュータでは、「セキュリティが有効」なグループは、単にセキュリティグループと呼ばれます。 ADには、セキュリティと配布の2種類のグループがあります。配布(セキュリティが無効)グループはExchangeの配布リスト用であり、アクセス許可や権限を割り当てることはできません。セキュリティ(セキュリティが有効)グループは、アクセス許可、権利、および配布リストとして使用できます。ドメインローカルグループとは、グループにそのドメイン内のオブジェクトへのアクセス権のみを付与でき、信頼されたドメインのメンバーを持つことができることを意味します。
ローカルSAM
- すべてのグループは、コンピューターのSAMのセキュリティグループです。ローカルSAMグループには、ローカルコンピューター上のオブジェクトへのアクセス権のみを付与できますが、ローカルSAMおよび信頼されたドメインからのメンバーを持つことができます。
件名:
アクションを実行したユーザーとログオンセッション。
- セキュリティID:アカウントのSID。
- アカウント名:アカウントのログオン名。
- アカウントドメイン:ドメイン、またはローカルアカウントの場合はコンピューター名。
- ログオンIDは、ログオンセッションを識別する半一意(再起動間で一意)の番号です。ログオンIDを使用すると、同じログオンセッション中に記録された他のイベントと同様に、ログオンイベント(4624)に逆相関させることができます。
イベントのカテゴリとサブカテゴリの完全なリストについては、以下のソースリンクを参照してください。
ソース 4732:メンバーはセキュリティが有効なローカルグループに追加されました