Eventos de creación de usuarios y grupos en Active directory

Como detectar la creación de usuarios en un DC y la asignación de grupos

  1. Habilitar la politica de auditoria

2. Eventos a controlar

creación de usuarios: 4720 Seguridad

Añadir usuarios a un grupo: 4728 Seguridad

En el visor de eventos podemos crear filtros personalizados de estos eventos

En el programador de tareas de Active directory podemos hacer que al crearse uno de estos dos eventos un script ejecute una acción

Ejemplo: Mandarnos un mail:

# listamos usuarios creados por eventos

$Usuairo=Get-Eventlog Security -InstanceId 4720  |  select-object -first 1 |
 Select-Object  @{ 
   n='Usuario Creado';
   e={ ($_.message -replace '\n', ' ') -replace '.*?Nombre de cuenta SAM:\t+([^\s]+).*', '$1' } 
 },
 @{ 
   n='Nombre de cuenta';
   e={ ($_.message -replace '\n', ' ') -replace '.*?Nombre de cuenta:\t+([^\s]+).*', '$1' } 
 }, TimeGenerated


#Miramos si es admin
#$Usuairo.'Usuario Creado' 
if (Get-ADGroupMember  "admins. del dominio" | where-object {$_.name -like ($Usuairo.'Usuario Creado')}){
$ms1=("L'usuari és administrador del sistema" + $Usuairo.'Usuario Creado')
}
else{ $sms = ($ms1 + " " + $Usuairo.'Nou Usuari  ' + " " + " ho ha creat " + " " +$Usuairo.'NOM' + " " +" Hora " + $Usuairo.TimeGenerated )}


Send-MailMessage -To jcmartinez@midominio.com -From ”alerta@midominio.com” -Subject “Nou Usuari:” -Body $sms -SmtpServer servidor.com

Leave a Reply

Your email address will not be published.