我想知道当创建新用户帐户并将其添加到管理员本地组时,Windows 是否会记住或记录(可能是事件查看器)。
例如,网络帐户用户在名为的计算机上创建本地用户,anonuser然后通过命令行将其添加到管理员本地组。如果另一个用户想知道是谁创建的,anonuser可以做到这一点吗?
答案1
我如何知道谁创建了用户?
查找事件 ID 4720:已创建用户帐户:
4720:已创建用户帐户
由“主题:”标识的用户创建了由“新帐户:”标识的用户。
属性显示了创建帐户时设置的一些属性。请注意,帐户最初是禁用的。
本地 SAM 帐户和域帐户都会记录此事件。
在此事件之后,您将看到一系列其他用户帐户管理事件,因为剩余属性被输入,密码被设置并且帐户最终被启用。
主题:
执行操作的用户和登录会话。
- 安全 ID:帐户的 SID。
- 账户名:账户登录名。
- 帐户域:域或(本地帐户的情况下)计算机名称。
- 登录 ID 是一个半唯一(每次重启后唯一)的数字,用于标识登录会话。登录 ID 允许您向后关联登录事件 (4624) 以及在同一登录会话期间记录的其他事件。
请参阅下面的源链接以获取事件类别和子类别的完整列表。
如何找出谁将用户添加到管理员本地组?
查找事件 ID 4732:成员已添加到启用安全的本地组:
4732:已将成员添加到启用安全的本地组
主题:中的用户将成员:中的用户/组/计算机添加到组:中的安全本地组。
此事件记录在 Active Directory 域本地组的域控制器和本地 SAM 组的成员计算机上。您可以通过将组域:与计算机:名称进行比较来确定该组是域组还是 SAM 组。如果它们匹配,则说明您有一个 SAM 组,如果它们不同,则说明您有一个域组。
活动目录
- 在 Active Directory 用户和计算机中,“安全启用”组简称为安全组。AD 有两种类型的组:安全和分发。分发(安全禁用)组用于 Exchange 中的分发列表,不能分配权限或权利。安全(安全启用)组可用于权限、权利和分发列表。域本地组意味着该组只能被授予对其域内对象的访问权限,但可以拥有来自任何受信任域的成员。
本地 SAM
- 所有组都是计算机 SAM 中的安全组。本地 SAM 组只能被授予对本地计算机上对象的访问权限,但可以拥有来自本地 SAM 和任何受信任域的成员。
主题:
执行操作的用户和登录会话。
- 安全 ID:帐户的 SID。
- 账户名:账户登录名。
- 帐户域:域或(本地帐户的情况下)计算机名称。
- 登录 ID 是一个半唯一(每次重启后唯一)的数字,用于标识登录会话。登录 ID 允许您向后关联登录事件 (4624) 以及在同一登录会话期间记录的其他事件。
请参阅下面的源链接以获取事件类别和子类别的完整列表。