Para poder auditar la creación y cambios de cuentas de usuarios de Active Directory debemos establecer esta política a nivel de dominio en la plantilla Default Domain Controllers Policy situada en Objetos de directiva de grupo.
La editamos y configuramos:
Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas locales > Directiva de auditoría
Habilitamos “Auditar la administración de cuentas” en intentos Correcto y Error.
Figura 1: Habilitar la auditoría de administración de cuentas en la plantilla “Default Domain Controllers Policy”.
Si también queremos que se realice auditoría de la administración de cuentas locales en cualquier equipo unido al dominio, que no sean cuentas Active Directory. Debemos aplicar esta política a nivel de dominio dentro de la plantilla Default Domain Policy.
Los ID de eventos que nos interesan para este caso son sobre la creación de nuevas cuentas de usuarios de Active Directory.
| Event ID | Descripción |
|---|---|
| 4720 | Se creó una cuenta de usuario |
| 4722 | Se habilitó una cuenta de usuario |
| 4724 | Se intentó restablecer la contraseña de una cuenta |
| 4738 | Se cambió una cuenta de usuario |
En el visor de eventos (eventvwr.msc) de un controlador de dominio, registros de Windows > Seguridad.
Creamos un filtro por los ID que nos interesen, separado por comas si queremos buscar más de un número de ID distinto.
En la siguiente captura se puede ver un ejemplo de un ID 4722, como se habilitó una nueva cuenta en Active Directory, más arriba tendríamos el ID 4720 donde se creó dicha cuenta.
Figura 2: Filtrar por ID de eventos para encontrar la creación de nuevas cuentas de usuario de Active Directory.
Saludos!