Como Detectar Quem Desativou uma Conta de Usuário no Active Directory

Auditoria Nativa

1. Execute gpedit.msc → Crie uma nova GPO → Edite-a → Vá para "Configuração do Computador" → Políticas → Configurações do Windows → Configurações de Segurança → Políticas Locais > Política de Auditoria:
   • Audite a gestão de contas → Definir → Sucesso.
2. Vá para Event Log → Defina:
   • Tamanho máximo do log de segurança para 4GB
   • Método de retenção para o log de segurança para Sobrescrever eventos conforme necessário.
3. Vincule a nova GPO à OU com Contas de Usuário → Acesse "Gerenciamento de Política de Grupo" → Clique com o botão direito na OU definida → Escolha "Vincular um GPO Existente" → Escolha o GPO que você criou.
4. Force a atualização da política de grupo → Em "Group Policy Management" → Clique com o botão direito na OU definida → Clique em "Group Policy Update".
5. Abra o ADSI Edit → Conecte-se ao contexto de nomeação padrão → Clique com o botão direito no objeto DomainDNS com o nome do seu domínio → Propriedades → Segurança (Aba) → Avançado (Botão) → Auditoria (Aba) → Adicionar Principal "Todos" → Tipo "Sucesso" → Aplica-se a "Este objeto e objetos descendentes" → Permissões → Selecione todas as caixas de seleção, exceto as seguintes:
   • Controle Total
   • Listar Conteúdos
   • Leia todas as propriedades
   • Permissões de leitura → Clique em "OK".
6. Abra o Visualizador de Eventos e procure no log de Segurança pelo ID de evento 4725 (categoria de tarefa de Gerenciamento de Conta de Usuário).

Netwrix Auditor for Active Directory

1. Execute o Netwrix Auditor → Acesse "Pesquisa" → Clique em "Modo avançado" se não estiver selecionado → Configure os seguintes filtros:
   • Filter = "Fonte de dados"
     Operator = "Igual a"
     Value = "Active Directory"
   • Filter = "Detalhes"
     Operator = "Contém"
     Value = "Conta de Usuário Desativada"
2. Clique no botão "Pesquisar" e verifique quem desativou quais contas de usuário no seu Active Directory.