Cómo averiguar quién desbloqueó una cuenta de usuario
Auditoría Nativa
- Ejecute gpedit.msc → Cree una nueva GPO → Edítela: Vaya a "Configuración del equipo" → Políticas → Configuración de Windows → Configuración de seguridad → Configuración avanzada de políticas de auditoría → Políticas de auditoría → Administración de cuentas:
- Audite la gestión de cuentas de usuario → Defina → Éxitos y fallos.
- Vaya al registro de eventos → Definir:
- Tamaño máximo del registro de seguridad a 4gb
- Método de retención para el registro de seguridad en "Sobrescribir eventos según sea necesario".
- Vincule la nueva GPO: Vaya a "Group Policy Management" → Haga clic derecho en el dominio o la OU → Elija Vincular una GPO existente → Elija la GPO que creó.
- Fuerce la actualización de la política de grupo: En "Group Policy Management" haga clic derecho en la OU definida → Haga clic en "Group Policy Update".
- Abra el Visor de eventos → Busque en el registro de seguridad el ID de evento 4767 (Se desbloqueó una cuenta de usuario).
Netwrix Auditor for Active Directory
- Ejecute Netwrix Auditor → Haga clic en "Informes" → Seleccione Active Directory → Cambios en Active Directory → Elija "Cambios en la Cuenta de Usuario" → Haga clic en "Ver".
- Después de eso, verás qué cuentas fueron desbloqueadas y quién lo hizo.
Compartir en