Bea*_*619 4 user-accounts administrator event-viewer local-groups
我想知道在创建新用户帐户然后将其添加到管理员本地组时,Windows 是否会记住或记录(可能是事件查看器)。
例如.. 网络帐户用户在名为的计算机上创建本地用户,anonuser然后通过命令行将其添加到管理员本地组。如果另一个用户想知道是谁创建的anonuser,那可以实现吗?
查找事件 ID 4720:已创建用户帐户:
4720:创建了用户帐户
由 Subject: 标识的用户创建了由 New Account: 标识的用户。
属性显示在创建帐户时设置的一些属性。通知帐户最初被禁用。
本地 SAM 帐户和域帐户都会记录此事件。
在此事件之后,您将看到一系列其他用户帐户管理事件,因为其余属性被取消,密码设置和帐户最终启用。
主题:
执行操作的用户和登录会话。
- 安全 ID:帐户的 SID。
- 帐户名:帐户登录名。
- 帐户域:域或 - 在本地帐户的情况下 - 计算机名称。
- 登录 ID 是标识登录会话的半唯一(重新启动之间唯一)编号。登录 ID 允许您向后关联登录事件 (4624) 以及在同一登录会话期间记录的其他事件。
有关该事件的类别和子类别的完整列表,请参阅下面的源链接。
查找事件 ID 4732:成员已添加到启用安全的本地组:
4732:成员已添加到启用安全的本地组
Subject: 中的用户将 Member: 中的用户/组/计算机添加到 Group: 中的安全本地组。
此事件记录在 Active Directory 域本地组的域控制器和本地 SAM 组的成员计算机上。您可以通过将 Group Domain: 与 Computer: 名称进行比较来确定该组是域还是 SAM 组。如果它们匹配,您就有一个 SAM 组,如果它们不同,您就有一个域组。
活动目录
- 在 Active Directory 用户和计算机中,“启用安全”组简称为安全组。AD 有两种类型的组:安全和分发。分发(禁用安全)组用于 Exchange 中的分发列表,不能分配权限或权利。安全(启用安全)组可用于权限、权限和分发列表。域本地组意味着该组只能被授予访问其域内对象的权限,但可以拥有来自任何受信任域的成员。
本地SAM
- 所有组都是计算机 SAM 中的安全组。本地 SAM 组只能被授予访问本地计算机上的对象的权限,但可以拥有来自本地 SAM 和任何受信任域的成员。
主题:
执行操作的用户和登录会话。
- 安全 ID:帐户的 SID。
- 帐户名:帐户登录名。
- 帐户域:域或 - 在本地帐户的情况下 - 计算机名称。
- 登录 ID 是标识登录会话的半唯一(重新启动之间唯一)编号。登录 ID 允许您向后关联登录事件 (4624) 以及在同一登录会话期间记录的其他事件。
有关该事件的类别和子类别的完整列表,请参阅下面的源链接。
| 归档时间: |
|
| 查看次数: |
18267 次 |
| 最近记录: |