Do ponto de vista do controlador de domínio, não há diferença entre alguém ver objetos do AD usando Usuários e Computadores do Active Directory , net user /domain
ou qualquer outra ferramenta que examine o diretório. Se você realmente deseja auditar a criação e a finalização do processo, consulte Gerenciador de Tarefas mostra os programas em execução - como posso ver os que foram encerrados?
Dito isso, você pode auditar o acesso a objetos do AD. Primeiro, ajuste a política de auditoria de seus controladores de domínio ( Configuração do Computador → Políticas → Configurações do Windows → Configurações de Segurança → < em> Políticas Locais → Política de Auditoria ) para auditar o acesso bem-sucedido ao serviço de diretório. Em seguida, vá para ADUC e ative os recursos avançados (em Exibir). Em cada UO que contém usuários, abra a janela Propriedades na guia Segurança. Clique no botão Avançado e mude para a guia Auditoria. Lá, adicione uma entrada Lista de conteúdos (ou Controle total se quiser) que se aplique a Todos. Na guia Auditoria, as entradas não concedem acesso; eles apenas marcam objetos para auditoria. Em seguida, qualquer usuário que execute um programa que enumere essas OUs acabará adicionando um evento 4662 (Acesso ao Serviço de Diretório) ao log de eventos do DC com todas as informações relevantes.
Como alternativa, você pode criar uma única conta de usuário "honeypot" à qual todo o acesso ( Controle total ) é auditado. Como net user /domain
analisa algumas propriedades dos usuários que encontrar, ele acionará a auditoria.
Outrasleituras: