Come capire chi ha creato un account utente locale

Se sei un amministratore IT, non c'è bisogno di dirti quanto sia importante tenere traccia delle creazioni degli account utente. La creazione di un account utente non autorizzato che non viene rilevato può portare a una grave perdita di dati e all'infezione dei sistemi, che culmina in un collasso delle operazioni aziendali. I passaggi seguenti mostrano come controllare le creazioni di account utente utilizzando gli strumenti AD nativi.

In alternativa, puoi anche fare riferimento alla scheda "AD Audit Plus". ADAudit Plus è una soluzione AD che offre un'esperienza utente migliore per il tracciamento di attività anomale specifiche. Hai accesso a numerosi report che descrivono in dettaglio ogni attività che ha avuto luogo sulla tua rete e ti offrono una visione olistica di tutti gli eventi in modo da poterli correlare.

Scarica gratis

Prova gratuita e completamente funzionante di 30 giorni

  • Con il controllo AD nativo

  • Con ADAudit Plus

  • Come utilizzare ADAudit Plus per verificare chi ha creato un account utente locale.

    • Nota: per abilitare il controllo richiesto, fai riferimento al Passaggio 1 nella scheda Controllo AD nativo. Dopodiché puoi seguire i passaggi seguenti per visualizzare gli eventi pertinenti.

  • Passa alla scheda "Server Audit".

  • Dal momento che stai cercando la creazione di account utente locali, scegli la scheda "Local Account Management". Quindi, potrai accedere al report preconfigurato denominato "Recently Created Users".

  • In questo modo viene fornito un report degli account utente locali appena creati. Puoi controllare chi ha creato un account utente locale qui.

  • Personalizza il Period all'intervallo di tempo desiderato. Inoltre, puoi definire un periodo personalizzato e salvarlo per una consultazione più rapida.

  • Per il periodo selezionato viene generato un report dettagliato delle informazioni di controllo.

  • Facendo clic su un evento nel grafico a barre, la visualizzazione del report viene filtrata, evidenziando solo l'evento selezionato.

  • Le opzioni di filtro avanzate ti aiutano a individuare l'evento specifico che stai cercando.

  • find-out-who-created-local-user-account-1
  • Passaggio 1: abilita il controllo dei Criteri di gruppo

  • Avvia il Server Manager e apri la Console Gestione Criteri di gruppo(GPMC).

  • Nel riquadro di sinistra, espandi i nodi Foresta e Domini per rivelare il dominio specificato per il quale desideri tenere traccia delle modifiche.

  • Espandi il dominio e fai clic con il pulsante destro del mouse su Criteri di dominio predefiniti. Puoi anche scegliere un criterio di dominio universale in tutto il dominio oppure creare un nuovo oggetto Criteri di gruppo e collegarlo al criterio di dominio predefinito.

  • Fai clic sull'opzione Modifica del criterio di gruppo desiderato per aprire Modifica Criteri di gruppo.

  • Espandi "Configurazione computer" ->Criteri--> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Criteri controllo.

  • Abilita le opzioni di operazioni riuscite e non per "Controlla gestione degli account". Queste consentono anche un controllo più granulare. Seleziona "Configurazione avanzata dei criteri di controllo"-->"Criteri di controllo di sistema"-->Gestione account-->Controlla Gestione account utente. Esci da Modifica Criteri di gruppo.

    find-out-who-created-local-user-account-2 find-out-who-created-local-user-account-3

  • Nella Console Gestione Criteri di gruppo scegliere l'oggetto Criteri di gruppo modificato e fai clic su "Aggiungi" nella sezione "Sicurezza" nel riquadro di destra. Digita "tutti" nella casella di testo e fai clic su "Controlla nomi" per "tenere traccia delle modifiche apportate da tutti coloro che hanno effettuato l'accesso al dominio" o qualcosa di simile. Esci dalla Console Gestione Criteri di gruppo.

    1. Per applicare queste modifiche in tutto il dominio, esegui il comando "gpupdate /force" nella console "Esegui".
  • Passaggio 2: consenti il controllo AD tramite ADSI Edit

  • Dal tuo "Server Manager" vai a "Strumenti" e seleziona "ADSI Edit".

  • Fai clic con il pulsante destro del mouse sul nodo "ADSI Edit" dal riquadro di sinistra e seleziona l'opzione "Connetti a". In questo modo viene visualizzata la finestra "Impostazioni delle connessioni".

  • Seleziona l'opzione "Contesto di denominazione predefinito" dal menu a discesa "Seleziona un contesto di denominazione noto".

  • Fai clic su OK e torna alla finestra di ADSI Edit. Espandi il "Contesto di denominazione predefinito" e seleziona il nodo secondario associato "DC". Fai clic con il pulsante destro del mouse su questo nodo secondario e scegli "Proprietà".

  • Nella finestra "Proprietà", vai alla scheda "Sicurezza" e seleziona "Avanzate".. Quindi seleziona la scheda "Controllo" e fai clic su "Aggiungi".

    find-out-who-created-local-user-account-4

  • Fai clic su "Seleziona un'entità". Questo farà apparire la finestra "Seleziona utente, computer o gruppo". Digita "Tutti" nella casella di testo e verifica con "Controlla nomi".

  • L'"Entità" nella finestra "Voce di controllo" ora mostra "Tutti". Nel menu a discesa "Tipo" seleziona "Tutti" per verificare sia gli eventi di "operazione riuscita" che di "errore".

  • Nel menu a discesa "Seleziona", scegli "Questo oggetto e tutti gli oggetti discendenti". Seleziona "Controllo completo" nella sezione "Autorizzazioni".

  • In questo modo vengono selezionate tutte le caselle di controllo disponibili. Deseleziona le seguenti caselle di controllo:

    1. Controllo completo
    2. Contenuto dell'elenco
    3. Leggi tutte le proprietà
    4. Autorizzazioni di lettura
    find-out-who-created-local-user-account-5
  • Passaggio 3: visualizza gli eventi nel Visualizzatore eventi

    • Puoi visualizzare gli eventi di tutti i nuovi account utente creati nel Visualizzatore eventi. Filtra il registro per visualizzare l'evento seguente.

    L'ID evento 4720 descrive un account utente creato.

    Puoi controllare i dettagli di chi ha creato l'account utente locale nelle Proprietà dell'evento. Se l'account utente è un account utente locale, il campo "Dominio account" conterrà il nome del dispositivo su cui è stato creato.

  • find-out-who-created-local-user-account-6

Il controllo nativo è un po' troppo?

Semplifica la gestione degli account locali, il controllo e la creazione di report con ADAudit Plus.

Richiedi la tua prova gratuita Versione di prova di 30 giorni completamente funzionante

Il controllo di Active Directory è diventato più semplice!

ADAudit Plus viene fornito in bundle con più di 300 report predefiniti che semplificano il controllo di AD. La soluzione invia anche avvisi in tempo reale per segnalare eventi critici e quindi aiuta a proteggere la rete dalle minacce e a migliorare il livello di sicurezza IT. Scopri le funzionalità di ADAudit Plus qui.

Scarica ADAudit Plus

  • Con il controllo AD nativo

  • Con ADAudit Plus

  • Come utilizzare ADAudit Plus per verificare chi ha creato un account utente locale.

    • Nota: per abilitare il controllo richiesto, fai riferimento al Passaggio 1 nella scheda Controllo AD nativo. Dopodiché puoi seguire i passaggi seguenti per visualizzare gli eventi pertinenti.

  • Passa alla scheda "Server Audit".

  • Dal momento che stai cercando la creazione di account utente locali, scegli la scheda "Local Account Management". Quindi, potrai accedere al report preconfigurato denominato "Recently Created Users".

  • In questo modo viene fornito un report degli account utente locali appena creati. Puoi controllare chi ha creato un account utente locale qui.

  • Personalizza il Period all'intervallo di tempo desiderato. Inoltre, puoi definire un periodo personalizzato e salvarlo per una consultazione più rapida.

  • Per il periodo selezionato viene generato un report dettagliato delle informazioni di controllo.

  • Facendo clic su un evento nel grafico a barre, la visualizzazione del report viene filtrata, evidenziando solo l'evento selezionato.

  • Le opzioni di filtro avanzate ti aiutano a individuare l'evento specifico che stai cercando.

  • find-out-who-created-local-user-account-1
  • Passaggio 1: abilita il controllo dei Criteri di gruppo

  • Avvia il Server Manager e apri la Console Gestione Criteri di gruppo(GPMC).

  • Nel riquadro di sinistra, espandi i nodi Foresta e Domini per rivelare il dominio specificato per il quale desideri tenere traccia delle modifiche.

  • Espandi il dominio e fai clic con il pulsante destro del mouse su Criteri di dominio predefiniti. Puoi anche scegliere un criterio di dominio universale in tutto il dominio oppure creare un nuovo oggetto Criteri di gruppo e collegarlo al criterio di dominio predefinito.

  • Fai clic sull'opzione Modifica del criterio di gruppo desiderato per aprire Modifica Criteri di gruppo.

  • Espandi "Configurazione computer" ->Criteri--> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Criteri controllo.

  • Abilita le opzioni di operazioni riuscite e non per "Controlla gestione degli account". Queste consentono anche un controllo più granulare. Seleziona "Configurazione avanzata dei criteri di controllo"-->"Criteri di controllo di sistema"-->Gestione account-->Controlla Gestione account utente. Esci da Modifica Criteri di gruppo.

    find-out-who-created-local-user-account-2 find-out-who-created-local-user-account-3

  • Nella Console Gestione Criteri di gruppo scegliere l'oggetto Criteri di gruppo modificato e fai clic su "Aggiungi" nella sezione "Sicurezza" nel riquadro di destra. Digita "tutti" nella casella di testo e fai clic su "Controlla nomi" per "tenere traccia delle modifiche apportate da tutti coloro che hanno effettuato l'accesso al dominio" o qualcosa di simile. Esci dalla Console Gestione Criteri di gruppo.

    1. Per applicare queste modifiche in tutto il dominio, esegui il comando "gpupdate /force" nella console "Esegui".
  • Passaggio 2: consenti il controllo AD tramite ADSI Edit

  • Dal tuo "Server Manager" vai a "Strumenti" e seleziona "ADSI Edit".

  • Fai clic con il pulsante destro del mouse sul nodo "ADSI Edit" dal riquadro di sinistra e seleziona l'opzione "Connetti a". In questo modo viene visualizzata la finestra "Impostazioni delle connessioni".

  • Seleziona l'opzione "Contesto di denominazione predefinito" dal menu a discesa "Seleziona un contesto di denominazione noto".

  • Fai clic su OK e torna alla finestra di ADSI Edit. Espandi il "Contesto di denominazione predefinito" e seleziona il nodo secondario associato "DC". Fai clic con il pulsante destro del mouse su questo nodo secondario e scegli "Proprietà".

  • Nella finestra "Proprietà", vai alla scheda "Sicurezza" e seleziona "Avanzate".. Quindi seleziona la scheda "Controllo" e fai clic su "Aggiungi".

    find-out-who-created-local-user-account-4

  • Fai clic su "Seleziona un'entità". Questo farà apparire la finestra "Seleziona utente, computer o gruppo". Digita "Tutti" nella casella di testo e verifica con "Controlla nomi".

  • L'"Entità" nella finestra "Voce di controllo" ora mostra "Tutti". Nel menu a discesa "Tipo" seleziona "Tutti" per verificare sia gli eventi di "operazione riuscita" che di "errore".

  • Nel menu a discesa "Seleziona", scegli "Questo oggetto e tutti gli oggetti discendenti". Seleziona "Controllo completo" nella sezione "Autorizzazioni".

  • In questo modo vengono selezionate tutte le caselle di controllo disponibili. Deseleziona le seguenti caselle di controllo:

    1. Controllo completo
    2. Contenuto dell'elenco
    3. Leggi tutte le proprietà
    4. Autorizzazioni di lettura
    find-out-who-created-local-user-account-5
  • Passaggio 3: visualizza gli eventi nel Visualizzatore eventi

    • Puoi visualizzare gli eventi di tutti i nuovi account utente creati nel Visualizzatore eventi. Filtra il registro per visualizzare l'evento seguente.

    L'ID evento 4720 descrive un account utente creato.

    Puoi controllare i dettagli di chi ha creato l'account utente locale nelle Proprietà dell'evento. Se l'account utente è un account utente locale, il campo "Dominio account" conterrà il nome del dispositivo su cui è stato creato.

  • find-out-who-created-local-user-account-6

Il controllo nativo è un po' troppo?

Semplifica la gestione degli account locali, il controllo e la creazione di report con ADAudit Plus.

Richiedi la tua prova gratuita Versione di prova di 30 giorni completamente funzionante

Il controllo di Active Directory è diventato più semplice!

ADAudit Plus viene fornito in bundle con più di 300 report predefiniti che semplificano il controllo di AD. La soluzione invia anche avvisi in tempo reale per segnalare eventi critici e quindi aiuta a proteggere la rete dalle minacce e a migliorare il livello di sicurezza IT. Scopri le funzionalità di ADAudit Plus qui.

Scarica ADAudit Plus

Richiedere supporto

Grazie!

I nostri tecnici dell'assistenza ti ricontatteranno al più presto.

    Inserire un indirizzo email valido
  •  
     
  • Cliccando 'invia richiesta' accetti l’elaborazione dei propri dati personali secondo l’Informativa sulla privacy.

Zoho Corporation Pvt. Ltd. Tutti i diritti riservati.