Objetivo
Esse post tem como objetivo identificar o usuário que realizou a criação ou exclusão de grupos no servidor. Esse procedimento pode ser utilizado em servidores em WORKGROUP e Member Server. Nosso teste será realizado em um servidor em WORKGROUP de nome SERVER1.
Grupos locais
Quando o servidor está em WORKGROUP ou é um Member Server, esse pode criar apenas grupo locais e neste caso esses grupos não fazem parte de escopos de grupos do AD, ou seja, será apenas um grupo local. No entanto, um Member Server pode conter como membro outros grupos do AD, porém não iremos abortar nesse KB, para mais informações sobre quais grupos do AD podem ser membros do grupo local verificar o KB da Microsoft https://learn.microsoft.com/pt-br/windows-server/identity/ad-ds/manage/understand-security-groups
Pré-requisitos:
É necessário que a auditoria de gerenciamento de objetos esteja habilitada no servidor, seja através de GPO ou diretiva local (servidores em WORKGROUP), para verificar esse pré-requisito consultar o postVerificação de Auditoria – GPO e WORKGROUP
Procedimento – Criação de grupos
Como se trata de um grupo local o Windows gera o evento 4731 para criação de grupos.
Foi criado o grupo Grupo1 para o teste.
Execute o Event Viewer, navegue até Windows Logs\Security. Clique com o botão direito em Security e selecione Filter Current Log…
No campo Include/Excludes Event IDs informe o ID do evento que neste caso é o 4731. Clique em OK.
O evento 4731 e filtrado. Procure o horário aproximado que o cliente reportou a solicitação e abra o evento.
Evento de criação do grupo local Grupo1
Procedimento – Exclusão de grupos
Como se trata de um grupo local o Windows gera o evento 4734 para exclusão de grupos.
Foi criado o grupo Grupo1 para o teste.
O grupo Grupo1 foi excluído.
Filtre novamente através do evento 4734.
Evento de exclusão do grupo local Grupo1
Concluímos que através desses procedimentos é possível identificar um usuário que criou ou excluiu um no servidor com sucesso.