Come rilevare chi ha disabilitato un account utente in Active Directory
Native Auditing
- Esegui gpedit.msc → Crea un nuovo GPO → Modificalo → Vai a "Configurazione del computer" → Criteri → Impostazioni di Windows → Impostazioni di sicurezza → Criteri locali > Criteri di controllo:
- Verifica la gestione degli account → Definisci → Successo.
- Vai al registro eventi → Definisci:
- Imposta la dimensione massima del registro di sicurezza a 4GB
- Metodo di conservazione per il registro di sicurezza per Sovrascrivere gli eventi secondo necessità.
- Collega il nuovo GPO all'OU con Account Utente → Vai a "Gestione Criteri di Gruppo" → Clicca con il tasto destro sull'OU definito → Scegli "Collega un GPO Esistente" → Scegli il GPO che hai creato.
- Forza l'aggiornamento della policy di gruppo → In "Group Policy Management" → Fai clic con il tasto destro sull'OU definita → Clicca su "Group Policy Update".
- Apri ADSI Edit → Connetti a contesto di denominazione predefinito → Fai clic destro sull'oggetto DomainDNS con il nome del tuo dominio → Proprietà → Sicurezza (Scheda) → Avanzate (Pulsante) → Controllo (Scheda) → Aggiungi Principale "Tutti" → Tipo "Successo" → Si applica a "Questo oggetto e oggetti discendenti" → Permessi → Seleziona tutte le caselle tranne le seguenti:
- Controllo completo
- Elenco dei contenuti
- Leggi tutte le proprietà
- Permessi di lettura → Cliccare su "OK".
- Apri Visualizzatore eventi e cerca nel registro Sicurezza gli ID evento 4725 (categoria di attività Gestione account utente).
Netwrix Auditor for Active Directory
- Esegui Netwrix Auditor → Vai su "Cerca" → Clicca su "Modalità avanzata" se non selezionata → Imposta i seguenti filtri:
- Filter = "Data source"
Operator = "Equals"
Value = "Active Directory" - Filter = "Dettagli"
Operatore = "Contiene"
Valore = "Account Utente Disabilitato"
- Filter = "Data source"
- Fai clic sul pulsante "Cerca" e controlla chi ha disabilitato quali account utente nel tuo Active Directory.
Condividi su