Objetivo
Esse post tem como objetivo identificar quando uma conta de usuário é desabilitara e habilitada em servidores em WORKGROUP e Member Server.
Há uma diferença entre conta de usuário desabilitada/habilitada e conta de usuário bloqueada/desbloqueada.
Uma conta desabilitada/habilitada é quando o administrador realiza a operação. Uma conta bloqueada/desbloqueada é quando a política de bloqueio de conta realiza a operação, no momento em que o usuário erra a senha pelo número de tentativas configurado na política de senha. Nosso teste será realizado em um servidor em WORKGROUP de nome SERVER1.
Pré-requisitos:
É necessário que a auditoria de gerenciamento de objetos esteja habilitada no servidor, seja através de GPO ou diretiva local (servidores em WORKGROUP), para verificar esse pré-requisito consultar o post Verificação de Auditoria – GPO e WORKGROUP
Procedimento – Desabilitar conta de usuário no servidor
Vamos simular a desativação da conta do usuário Zoro.
Verifique que a conta do usuário está realmente bloqueada.
Execute o Event Viewer, navegue até Windows Logs\Security. Clique com o botão direito em Security e selecione Filter Current Log…
No campo Include/Excludes Event IDs informe o ID do evento que neste é 4725. Clique em OK.
O evento 4725 é filtrado. Procure o horário aproximado que o cliente reportou a solicitação e abra o evento.
No evento é possível verificar se a ação foi com sucesso ou falha. Neste caso o usuário administrator conseguiu bloquear a conta do usuário Zoro com sucesso. Em Subject é o usuário que realizou a ação, em Target Account é o usuário que sofreu a ação, em Changed Attributes são os atributos que foram alterados na conta do usuário.
Procedimento – Habilitar conta de usuário no servidor
Vamos habilitar novamente a conta do usuário Zoro.
O evento 4722 é registrado quando a conta do usuário é habilitada. Procure o horário aproximado que o cliente reportou a solicitação e abra o evento.
Verifique os eventos filtrados.
Neste caso o usuário administrator habilitou a conta do usuário Zoro com sucesso. Em Subject é o usuário que realizou a ação, em Target Account é o usuário que sofreu a ação.
Concluímos que através desses procedimentos é possível identificar um usuário que habilitou ou desabilitou a conta de um usuário.