Como descobrir quem desbloqueou uma conta de usuário

Auditoria Nativa

1. Execute gpedit.msc → Crie uma nova GPO → Edite-a: Vá até "Configuração do Computador" → Políticas → Configurações do Windows → Configurações de Segurança → Configuração de Política de Auditoria Avançada → Políticas de Auditoria → Gerenciamento de Contas:
   • Audite o gerenciamento de contas de usuário → Defina → Sucessos e falhas.
2. Vá para Event Log → Defina:
   • Tamanho máximo do log de segurança para 4gb
   • Método de retenção para o log de segurança para "Sobrescrever eventos conforme necessário".
3. Vincule a nova GPO: Acesse "Gerenciamento de Política de Grupo" → Clique com o botão direito no domínio ou na OU → Escolha Vincular uma GPO Existente → Escolha a GPO que você criou.
4. Force a atualização da política de grupo: Em "Group Policy Management" clique com o botão direito na OU definida → Clique em "Group Policy Update".
5. Abra o Visualizador de Eventos → Pesquise no log de segurança pelo ID de evento 4767 (Uma conta de usuário foi desbloqueada).

Netwrix Auditor for Active Directory

1. Execute o Netwrix Auditor → Clique em "Relatórios" → Escolha Active Directory → Mudanças no Active Directory → Escolha "Mudanças na Conta de Usuário" → Clique em "Visualizar".
2. Depois disso, você verá quais contas foram desbloqueadas e quem fez isso.