Opplæring Powershell - Hvem opprettet en bruker på domenet

Vil du lære hvordan du filtrerer Windows-hendelseslogger ved hjelp av Powershell for å finne hvem som har opprettet en brukerkonto på domenet? I denne opplæringen skal vi vise deg hvordan du finner hvem som opprettet en konto på Active Directory.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 2022
• Windows 10
• Windows 11

Liste over utstyr

Her finner du listen over utstyr som brukes til å lage denne opplæringen.

Liste over utstyr

Denne koblingen vil også vise programvarelisten som brukes til å lage denne opplæringen.

Relatert opplæring - PowerShell

På denne siden tilbyr vi rask tilgang til en liste over tutorials knyttet til PowerShell.

Opplæring Powershell - Hvem opprettet en bruker på domenet

Start en forhøyet Powershell-kommandolinje på domenekontrolleren.

Liste hendelser knyttet til opprettelsen av en brukerkonto.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Vis innholdet i hendelser knyttet til opprettelsen av en brukerkonto.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Message              : A user account was created.

Subject:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-500
                        Account Name:           administrator
                        Account Domain:         TECH
                        Logon ID:               0x92491

New Account:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-1106
                        Account Name:           vegeta
                        Account Domain:         TECH

Attributes:
                        SAM Account Name:       vegeta
                        Display Name:           Prince Vegeta
                        User Principal Name:    vegeta@TECH.LOCAL
                        Home Directory:         -
                        Home Drive:             -
                        Script Path:            -
                        Profile Path:           -
                        User Workstations:      -
                        Password Last Set:      <never>
                        Account Expires:                <never>
                        Primary Group ID:       513
                        Allowed To Delegate To: -
                        Old UAC Value:          0x0
                        New UAC Value:          0x15
                        User Account Control:
                                Account Disabled
                                'Password Not Required' - Enabled
                                'Normal Account' - Enabled
                        User Parameters:        -
                        SID History:            -
                        Logon Hours:            <value not set>

Additional Information:
                        Privileges              -
Id                   : 4720
Version              : 0
Qualifiers           :
Level                : 0
Task                 : 13824
Opcode               : 0
Keywords             : -9214364837600034816
RecordId             : 123413
ProviderName         : Microsoft-Windows-Security-Auditing
ProviderId           : 54849625-5478-4994-a5ba-3e3b0328c30d
LogName              : Security
ProcessId            : 824
ThreadId             : 3200
MachineName          : TECH-DC01.TECH.LOCAL
UserId               :
TimeCreated          : 8/9/2022 4:01:18 AM
ActivityId           :
RelatedActivityId    :
ContainerLog         : Security
MatchedQueryIds      : {}
Bookmark             : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName     : Information
OpcodeDisplayName    : Info
TaskDisplayName      : User Account Management
KeywordsDisplayNames : {Audit Success}
Properties           : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty,
                       System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty...}

Vis bare innholdet i hendelsesmeldingen.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

A user account was created.

Subject:
        Security ID:            S-1-5-21-4215187987-3124207031-433979976-500
        Account Name:           administrator
        Account Domain:         TECH
        Logon ID:               0x92491

New Account:
        Security ID:            S-1-5-21-4215187987-3124207031-433979976-1106
        Account Name:           vegeta
        Account Domain:         TECH

Attributes:
        SAM Account Name:       vegeta
        Display Name:           Prince Vegeta
        User Principal Name:    vegeta@TECH.LOCAL
        Home Directory:         -
        Home Drive:             -
        Script Path:            -
        Profile Path:           -
        User Workstations:      -
        Password Last Set:      <never>
        Account Expires:                <never>
        Primary Group ID:       513
        Allowed To Delegate To: -
        Old UAC Value:          0x0
        New UAC Value:          0x15
        User Account Control:
                Account Disabled
                'Password Not Required' - Enabled
                'Normal Account' - Enabled
        User Parameters:        -
        SID History:            -
        Logon Hours:            <value not set>

Additional Information:
        Privileges              -

Finn hvem som har opprettet brukerkontoer de siste 30 dagene.

Copy to Clipboard

List opp hendelser knyttet til opprettelsen av en spesifikk brukerkonto.

Copy to Clipboard

I vårt eksempel filtrerte vi basert på innholdet i hendelsesmeldingen.

Gratulerer! Du kan finne hvem som opprettet en brukerkonto i Active Directory ved hjelp av Powershell.

Powershell - Hvem opprettet en bruker på domenet

Powershell - Hvem opprettet en bruker på domenet

Liste over utstyr

Relatert opplæring - PowerShell

Opplæring Powershell - Hvem opprettet en bruker på domenet

Related Posts