Comment découvrir qui a déverrouillé un compte d'utilisateur
Audit Natif
- Exécutez gpedit.msc → Créez un nouveau GPO → Modifiez-le : Accédez à "Configuration de l'ordinateur" → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration de la stratégie d'audit avancée → Stratégies d'audit → Gestion des comptes :
- Auditez la gestion des comptes utilisateur → Définissez → Succès et échecs.
- Allez dans le journal des événements → Définir :
- Taille maximale du journal de sécurité à 4 Go
- Méthode de rétention pour le journal de sécurité à « Écraser les événements selon les besoins ».
- Associez le nouveau GPO : Allez dans "Gestion de stratégie de groupe" → Cliquez droit sur le domaine ou l'OU → Choisissez Associer un GPO existant → Sélectionnez le GPO que vous avez créé.
- Forcez la mise à jour de la stratégie de groupe : Dans "Gestion de la stratégie de groupe" cliquez avec le bouton droit sur l'unité d'organisation définie → Cliquez sur "Mise à jour de la stratégie de groupe".
- Ouvrez l'Observateur d'événements → Recherchez dans le journal de sécurité l'ID d'événement 4767 (Un compte utilisateur a été déverrouillé).
Netwrix Auditor for Active Directory
- Exécutez Netwrix Auditor → Cliquez sur "Rapports" → Choisissez Active Directory → Modifications Active Directory → Choisissez "Modifications des comptes utilisateurs" → Cliquez sur "Afficher".
- Après cela, vous verrez quels comptes ont été déverrouillés et qui a fait cela.
Partager sur