Cómo averiguar quién desbloqueó una cuenta de usuario

Auditoría Nativa

1. Ejecute gpedit.msc → Cree una nueva GPO → Edítela: Vaya a "Configuración del equipo" → Políticas → Configuración de Windows → Configuración de seguridad → Configuración avanzada de políticas de auditoría → Políticas de auditoría → Administración de cuentas:
   • Audite la gestión de cuentas de usuario → Defina → Éxitos y fallos.
2. Vaya al registro de eventos → Definir:
   • Tamaño máximo del registro de seguridad a 4gb
   • Método de retención para el registro de seguridad en "Sobrescribir eventos según sea necesario".
3. Vincule la nueva GPO: Vaya a "Group Policy Management" → Haga clic derecho en el dominio o la OU → Elija Vincular una GPO existente → Elija la GPO que creó.
4. Fuerce la actualización de la política de grupo: En "Group Policy Management" haga clic derecho en la OU definida → Haga clic en "Group Policy Update".
5. Abra el Visor de eventos → Busque en el registro de seguridad el ID de evento 4767 (Se desbloqueó una cuenta de usuario).

Netwrix Auditor for Active Directory

1. Ejecute Netwrix Auditor → Haga clic en "Informes" → Seleccione Active Directory → Cambios en Active Directory → Elija "Cambios en la Cuenta de Usuario" → Haga clic en "Ver".
2. Después de eso, verás qué cuentas fueron desbloqueadas y quién lo hizo.