Objetivo
Esse post tem como objetivo identificar o login que realizou a adição ou remoção de usuários a grupos no servidor. Esse procedimento pode ser utilizado em servidores em WORKGROUP e Member Server. Nosso teste será realizado em um servidor em WORKGROUP de nome SERVER1.
Grupos Locais
Quando o servidor está em WORKGROUP ou é um Member Server, esse pode criar apenas grupo locais e neste caso esses grupos não fazem parte de escopos de grupos do AD, ou seja, será apenas um grupo local. No entanto, um Member Server pode conter como membro outros grupos do AD, porém não iremos abortar nesse KB, para mais informações sobre quais grupos do AD podem ser membros do grupo local verificar o KB da Microsoft https://learn.microsoft.com/pt-br/windows-server/identity/ad-ds/manage/understand-security-groups
Pré-requisitos:
É necessário que a auditoria de gerenciamento de objetos esteja habilitada no servidor, seja através de GPO ou diretiva local (servidores em WORKGROUP), para verificar esse pré-requisito consultar o post Verificação de Auditoria – GPO e WORKGROUP
Procedimento – Adicionando usuário ao grupo
São gerados dois eventos seguidos, um de alteração de grupo e outro de adição do usuário ao grupo, os IDs dos eventos gerados são 4735 e 4732.
Foi criado o grupo Grupo2 para o teste.
O usuário Brook foi adicionado ao grupo global Grupo2
Execute o Event Viewer, navegue até Windows Logs\Security. Clique com o botão direito em Security e selecione Filter Current Log…
No campo Include/Excludes Event IDs informe os IDs dos eventos que neste caso serão 4735 e 4732. Os eventos devem ser separados por vírgula. Clique em OK.
Os eventos serão filtrados. Procure o horário aproximado que o cliente reportou a solicitação e abra o evento.
Verifiquem que são gerados dois eventos seguidos, um de alteração de grupo e outro de adição do usuário ao grupo.
Eventos de alteração de grupo e do usuário Brook adicionado ao grupo global Grupo2
Procedimento – Removendo usuário do grupo
São gerados dois eventos seguidos, um de alteração de grupo e outro de adição do usuário ao grupo, o ID do evento é 4733.
Usuário Brook removido do grupo global Grupo2
Realize o filtro para os seguintes eventos 4733.
Evento do usuário Brook sendo removido do grupo local Grupo2
Concluímos que através desses procedimentos é possível identificar um usuário que adicionou ou removeu outro usuário em um grupo no servidor com sucesso.