Come scoprire chi ha sbloccato un account utente

Native Auditing

1. Esegui gpedit.msc → Crea un nuovo GPO → Modificalo: Vai a "Configurazione del computer" → Criteri → Impostazioni di Windows → Impostazioni di sicurezza → Configurazione criteri di controllo avanzato → Criteri di controllo → Gestione account:
   • Audit User Account Management → Definire → Successi e fallimenti.
2. Vai al registro eventi → Definisci:
   • Dimensione massima del registro di sicurezza a 4gb
   • Metodo di conservazione per il registro di sicurezza su "Sovrascrivi eventi secondo necessità".
3. Collega il nuovo GPO: Vai su "Gestione Criteri di Gruppo" → Clicca con il tasto destro sul dominio o sull'OU → Scegli Collega un GPO Esistente → Scegli il GPO che hai creato.
4. Forza l'aggiornamento della policy di gruppo: In "Group Policy Management" clicca con il tasto destro sull'OU definita → Clicca "Group Policy Update".
5. Apri Visualizzatore eventi → Cerca nel registro di sicurezza l'ID evento 4767 (Un account utente è stato sbloccato).

Netwrix Auditor for Active Directory

1. Esegui Netwrix Auditor → Clicca su "Reports" → Seleziona Active Directory → Cambiamenti in Active Directory → Scegli "User Account Changes" → Clicca su "View".
2. Dopo ciò, vedrai quali account sono stati sbloccati e chi lo ha fatto.