Objetivo
Esse post tem como objetivo identificar o login que realizou a criação ou exclusão de uma conta de usuário de servidores em WORKGROUP e Member Server. Nosso teste será realizado em um servidor em WORKGROUP de nome SERVER1.
Pré-requisitos:
É necessário que a auditoria de gerenciamento de objetos esteja habilitada no servidor, seja através de GPO ou diretiva local (servidores em WORKGROUP), para verificar esse pré-requisito consultar o post Verificação de Auditoria – GPO e WORKGROUP
Procedimento – Quem criou o usuário
Vamos simular a criação de um usuário de nome Ace.
O usuário foi criado de forma padrão, sem opções habilitadas.
Execute o Event Viewer, navegue até Windows Logs\Security. Clique com o botão direito em Security e selecione Filter Current Log…
No campo Include/Excludes Event IDs informe o ID do evento que neste caso é 4720. Clique em OK.
O evento 4720 será filtrado. Procure o horário aproximado que o cliente reportou a solicitação e abra o evento.
No evento é possível verificar se a ação foi com sucesso ou falha, o usuário que foi criado e quem criou. Neste caso o usuário administrator criou o usuário Ace com sucesso.
Em User Accout Control são informados os atributos que são habilitados na criação do usuário, por exemplo, se a opção “User must change password at next logon” fosse marcada durante a criação do usuário o evento seria registrado nesse log. Como a opção “User must change password at next logon” não foi habilitada durante a criação do usuário o log exibe ‘Password Not Required’ – Enabled. Em Subject é o usuário que realizou a ação, em New Account é o usuário que foi criado, em Attributes são os atributos que foram criados.
Procedimento – Quem excluiu o usuário
Vamos simular a exclusão do usuário Ace.
Execute o Event Viewer, navegue até Windows Logs\Security. Clique com o botão direito em Security e selecione Filter Current Log…
No campo Include/Excludes Event IDs informe o ID do evento que neste caso é diferente do evento de criação 4726. Clique em OK.
O evento 4726 será filtrado. Procure o horário aproximado que o cliente reportou a solicitação e abra o evento.
Neste caso o usuário administrator conseguiu excluir o usuário Ace com sucesso. Em Subject é o usuário que realizou a ação, em Target Account é o usuário que sofreu a ação.
Concluímos que através desses procedimentos é possível identificar qual usuário criou ou excluiu um usuário específico.