- Аудит событий входа в систему Audit account logon events
- Настройка этого параметра аудита Configure this audit setting
- Аудит события входа Audit logon events
- Настройка этого параметра аудита Configure this audit setting
- История входа пользователей в ОС
- Включаем аудит входа в учётную запись пользователя Windows
- Что такое Аудит входа
- Включение аудита входа
- Просмотр событий аудита входа в систему
- 4720(S): создана учетная запись пользователя. 4720(S): A user account was created.
- Рекомендации по контролю безопасности Security Monitoring Recommendations
Аудит событий входа в систему Audit account logon events
Область применения Applies to
Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из него с другого устройства, на котором это устройство используется для проверки учетной записи. Determines whether to audit each instance of a user logging on to or logging off from another device in which this device is used to validate the account.
Этот параметр безопасности определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из него с другого компьютера, на котором этот компьютер используется для проверки учетной записи. This security setting determines whether to audit each instance of a user logging on to or logging off from another computer in which this computer is used to validate the account. События для регистрации учетной записи создаются при проверке подлинности учетной записи пользователя домена на контроллере домена. Account logon events are generated when a domain user account is authenticated on a domain controller. Событие регистрируется в журнале безопасности контроллера домена. The event is logged in the domain controller’s security log. События для локалки создаются при проверке подлинности локального пользователя на локальном компьютере. Logon events are generated when a local user is authenticated on a local computer. Событие регистрируется в локальном журнале безопасности. The event is logged in the local security log. События выйдите из учетной записи не создаются. Account logoff events are not generated.
Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа в учетную запись. Success audits generate an audit entry when an account logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа в учетную запись. Failure audits generate an audit entry when an account logon attempt fails. Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
По умолчанию: успех Default: Success
Настройка этого параметра аудита Configure this audit setting
Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
Аудит события входа Audit logon events
Область применения Applies to
Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из нее с устройства. Determines whether to audit each instance of a user logging on to or logging off from a device.
События для регистрации учетной записи создаются на контроллерах домена для действий с учетной записью домена и на локальных устройствах для действий с локальной учетной записью. Account logon events are generated on domain controllers for domain account activity and on local devices for local account activity. Если включены обе категории политики аудита входа и входа, входы в систему, которые используют учетную запись домена, создают событие входа или входа в систему на рабочей станции или сервере, а также создают событие входа в учетную запись на контроллере домена. If both account logon and logon audit policy categories are enabled, logons that use a domain account generate a logon or logoff event on the workstation or server, and they generate an account logon event on the domain controller. Кроме того, интерактивные входы в систему на рядовом сервере или рабочей станции, которые используют учетную запись домена, создают событие входа на контроллере домена при извлечении скриптов и политик входа при входе пользователя в систему. Additionally, interactive logons to a member server or workstation that use a domain account generate a logon event on the domain controller as the logon scripts and policies are retrieved when a user logs on. Дополнительные сведения о событиях для учетной записи для учетной записи см. в записи аудита событий. For more info about account logon events, see Audit account logon events.
Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.
Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
Дополнительные сведения о дополнительных параметрах политики безопасности для событий входа см. в разделе «Вход и выйдите» в разделе «Дополнительные параметры политики аудита безопасности». For information about advanced security policy settings for logon events, see the Logon/logoff section in Advanced security audit policy settings.
Настройка этого параметра аудита Configure this audit setting
Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
| События для логотипа Logon events | Описание Description |
|---|---|
| 4624 4624 | Пользователь успешно выполнил вход на компьютер. A user successfully logged on to a computer. Сведения о типе логоса см. в таблице «Типы для логотипа» ниже. For information about the type of logon, see the Logon Types table below. |
| 4625 4625 | Ошибка при работе с логотипом. Logon failure. Была предпринята попытка вводить данные с неизвестным именем пользователя или с неизвестным именем пользователя с некаленным паролем. A logon attempt was made with an unknown user name or a known user name with a bad password. |
| 4634 4634 | Для пользователя завершен процесс выйдите из сети. The logoff process was completed for a user. |
| 4647 4647 | Пользователь инициировал процесс выйдите из сети. A user initiated the logoff process. |
| 4648 4648 | Пользователь успешно выполнил вход на компьютер с использованием явных учетных данных, а уже вошел как другой пользователь. A user successfully logged on to a computer using explicit credentials while already logged on as a different user. |
| 4779 4779 | Пользователь отключил сеанс сервера терминалов, не выйдя из системы. A user disconnected a terminal server session without logging off. |
При регистрации события 528 в журнале событий также регистрируется тип входа. When event 528 is logged, a logon type is also listed in the event log. В следующей таблице описаны все типы для логотипа. The following table describes each logon type.
История входа пользователей в ОС
Здравствуйте, необходимо вывести журнал авторизации пользователей в системе Windows server ( Аудит включен)
Журнал нужен примерно следующий виде.
Дата, тип события( вход/выход) ,Имя пользователя.
Журнал необходим, чтоб отследить пользователей входивших (выходивших) в систему за определенный период.
Системный журнал в обычном режиме показывает лишь события успешного / не успешного входа в систему, но как вывести рядом пользователя сгенерировавшего данное событие не ясно.
Варианты решения:
- Готовое ПО для анализа авторизации пользователей
- Какой нибудь хитрый скприт
- Тонкая настройка фильтров журнала событий
Кто что успешно практиковал и может поделиться решением?
Время входа пользователей
Здравствуйте! Есть WS 2008 x32, помогите создать запрос. Требуется сделать выгрузку в excel.
Сценарий входа для пользователей
Доброго времени суток, столкнулся с такой проблемой: нужно раскинуть по компам в сети рдп файлы на.
Мониторинг входа/выхода пользователей
Нужно написать скрипт,который записывал бы время,дату и имя компьютера в txt файл,сразу же после.
Запрет повторного входа пользователей
Всем , здравствуйте. Исходные данные: Проект на MVS 2015. Авторизация пользователей работает.
Включаем аудит входа в учётную запись пользователя Windows
Вы никогда не задумывались о том, что если вы можете отслеживать деятельность залогиневшегося пользователя ОС Windows, то Вы так же можете и записывать информацию том, кто вошел в систему и, когда они из неё вышел? Это вполне возможно, если в системе Windows использовать функцию аудита входа. Отслеживание входа и выход пользователя очень полезно в организациях, где данные являются конфиденциальными и в ситуациях, когда Вы просто хотите узнать «кто это сделал» в вашей системе Windows. По умолчанию, функция аудита входа отключена в Windows. В этой статье, давайте посмотрим, как включить аудит авторизации и как отслеживания эти события в системе Windows.
Примечание: Аудит входа доступен только в Pro или Enterprise версий Windows 8.
Что такое Аудит входа
Аудит входа в систему — это встроенный параметр Windows, который можно найти в «Редакторе групповой локальной политики», который позволяет администратором Windows вести журнал и аудит каждого пользовательского входи и выхода на локальном компьютере или в сети. Также эта функция способна отслеживать любые неудачные попытки входа в систему. Это особенно полезно при определении и анализе любых несанкционированных подключений к Вашей машине Windows.
Включение аудита входа
Чтобы включить аудит входа в систему, мы должны настроить параметры групповой политики Windows. Нажмите сочетание клавиш “’Win + R”, введите gpedit.msc в диалоговом окне «Выполнить» и нажмите кнопку «ОК», чтобы открыть окно «Редактор локальной групповой политики».
После того, как редактор будет запущен, Перейдите в области навигации по следующему пути:
«Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита»
В открывшемся списке найдите и дважды кликните мышкой на политику «Аудит входа в систему». Пожалуйста, не путайте «Аудит входа в систему» с «Аудит событий входа в систему», так как это совершенно разных параметры.
После того, как откроется окно, выберите оба флажки «Успех» и «Отказ»’. Теперь нажмите на кнопку «Применить» и кнопку «ОК», чтобы сохранить изменения.
Вот и все, что нужно сделать. С этого момента, каждый вход и выход, а также попытки входа будут записываться в журнале событий.
Просмотр событий аудита входа в систему
Вы можете просмотреть все записи журнала входа, выхода и неудачных попыток входа в систему, в окне просмотра событий Windows. Вы можете запустить программу просмотра событий с помощью функции поиска в меню «Пуск». Если вы используете Windows 8, то Вы можете запустить то же самое окно с помощью меню сочетания клавиш «Win + X» и выбрав из меню пункт «Просмотр событий».
После того как вы запустите окно «Просмотра событий», перейдите к разделу «Журналы Windows», и выберете журнал «Безопасность».
Здесь Вы найдете все, что связанно с событиями безопасности, которые произошли в Вашей системе Windows. Если Вы дважды щелкните по ключевому слову «Аудит успеха», то Вы узнаете детальную информацию по данному событию.
Так же Вы можете фильтровать журнал событий с помощью различных параметров, нажав на кнопку «Фильтр текущего журнала…», расположенную на правой боковой панели окна «Просмотр событий».
Вот и все, что нужно сделать для того, чтобы просто отслеживать регистрацию пользователей в системе Windows.
Надеюсь, что статья была Вам интересна. Оставляйте комментарии, подписывайтесь на наши новости и оставайтесь с нами.
4720(S): создана учетная запись пользователя. 4720(S): A user account was created.
Область применения Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
* Описание события: Event Description: *
Это событие создается каждый раз, когда создается новый объект пользователя. This event generates every time a new user object is created.
Это событие создается на контроллерах домена, серверах-членах и рабочих станциях. This event generates on domain controllers, member servers, and workstations.
*Примечание.** Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события. *Note** For recommendations, see Security Monitoring Recommendations for this event.
*Обязательные роли сервера:* нет. Required Server Roles: None.
*Минимальная версия ОС:* Windows Server 2008, Windows Vista. Minimum OS Version: Windows Server 2008, Windows Vista.
* Описания полей: Field Descriptions: *
- Security ID [Type = SID]: SID учетной записи, запросив операцию «создание учетной записи пользователя». Security ID [Type = SID]: SID of account that requested the “create user account” operation. Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Event Viewer automatically tries to resolve SIDs and show the account name. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные. If the SID cannot be resolved, you will see the source data in the event.
Примечание. . Идентификатор безопасности (SID) представляет собой строковое значение переменной длины, которое используется для идентификации доверенного лица (субъекта безопасности). Note A security identifier (SID) is a unique value of variable length used to identify a trustee (security principal). Каждая учетная запись имеет уникальный идентификатор безопасности, выданный центром сертификации, таким как контроллер домена Active Directory, который хранится в базе данных безопасности. Each account has a unique SID that is issued by an authority, such as an Active Directory domain controller, and stored in a security database. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности этого пользователя из базы данных и помещает ее в маркер доступа этого пользователя. Each time a user logs on, the system retrieves the SID for that user from the database and places it in the access token for that user. Система использует идентификатор безопасности в маркере доступа для идентификации пользователя во всех последующих операциях с Безопасностью Windows. The system uses the SID in the access token to identify the user in all subsequent interactions with Windows security. Если идентификатор SID использовался как уникальный идентификатор для пользователя или группы, он не может использоваться повторно для идентификации другого пользователя или группы. When a SID has been used as the unique identifier for a user or group, it cannot ever be used again to identify another user or group. Дополнительные сведения о SID см. в разделе Идентификаторы безопасности. For more information about SIDs, see Security identifiers.
Имя учетной записи [Type = UnicodeString]— имя учетной записи, которая запросила операцию «создание учетной записи пользователя». Account Name [Type = UnicodeString]: the name of the account that requested the “create user account” operation.
Account Domain [Type = UnicodeString]: домен субъекта или имя компьютера. Account Domain [Type = UnicodeString]: subject’s domain or computer name. Форматы различаются и включают в себя следующее: Formats vary, and include the following:
Пример имени домена NETBIOS: CONTOSO Domain NETBIOS name example: CONTOSO
Полное имя домена в нижнем регистре: contoso.local Lowercase full domain name: contoso.local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL Uppercase full domain name: CONTOSO.LOCAL
Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно «NT AUTHORITY». For some well-known security principals, such as LOCAL SERVICE or ANONYMOUS LOGON, the value of this field is “NT AUTHORITY”.
Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: «Win81». For local user accounts, this field will contain the name of the computer or device that this account belongs to, for example: “Win81”.
Logon ID [Type = HexInt64]: шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями содержащими тот же идентификатор входа, например: “4624: Учетная запись успешно вошла в систему.” Logon ID [Type = HexInt64]: hexadecimal value that can help you correlate this event with recent events that might contain the same Logon ID, for example, “4624: An account was successfully logged on.”
Новая учетная запись: New Account:
Security ID [Type = SID]: SID созданной учетной записи пользователя. Security ID [Type = SID]: SID of created user account. Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Event Viewer automatically tries to resolve SIDs and show the account name. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные. If the SID cannot be resolved, you will see the source data in the event.
Имя учетной записи [Type = UnicodeString]— имя созданной учетной записи пользователя. Account Name [Type = UnicodeString]: the name of the user account that was created. Например: «висяк». For example: dadmin.
Домен учетной записи [Type = UnicodeString]: доменное имя созданной учетной записи пользователя. Account Domain [Type = UnicodeString]: domain name of created user account. Форматы различаются и включают в себя следующее: Formats vary, and include the following:
Пример имени домена NETBIOS: CONTOSO Domain NETBIOS name example: CONTOSO
Полное имя домена в нижнем регистре: contoso.local Lowercase full domain name: contoso.local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL Uppercase full domain name: CONTOSO.LOCAL
Для локальных учетных записей это поле будет содержать имя компьютера, к которому относится эта новая учетная запись, например» Win81. For local accounts, this field will contain the name of the computer to which this new account belongs, for example: “Win81”.
Атрибуты: Attributes:
Имя учетной записи SAM [Type = UnicodeString]: имя для учетной записи, используемой для поддержки клиентов и серверов из предыдущих версий Windows (до Windows 2000). SAM Account Name [Type = UnicodeString]: logon name for account used to support clients and servers from previous versions of Windows (pre-Windows 2000 logon name). Значение атрибута sAMAccountName нового объекта пользователя. The value of sAMAccountName attribute of new user object. Например: ksmith. For example: ksmith. Для локальной учетной записи это поле содержит имя новой учетной записи пользователя. For local account this field contains the name of new user account.
Отображаемая имя [Type = UnicodeString]: значение атрибута displayName нового объекта пользователя. Display Name [Type = UnicodeString]: the value of displayName attribute of new user object. Это имя, отображаемая в адресной книге для определенной учетной записи. Как правило, это сочетание имени, от начальной и фамилии пользователя. It is a name displayed in the address book for a particular account .This is usually the combination of the user’s first name, middle initial, and last name. Например, Ken Smith. For example, Ken Smith. Этот атрибут можно изменить, например, с помощью пользователей и компьютеров Active Directory или с помощью скрипта. You can change this attribute by using Active Directory Users and Computers, or through a script, for example. Локальные учетные записи содержат атрибут Full Name в этом поле, но для новых локальных учетных записей это поле обычно имеет значение** установлено».** Local accounts contain Full Name attribute in this field, but for new local accounts this field typically has value “ ”.
Имя основного пользователя [Type = UnicodeString]: имя входа в интернет-стиле для учетной записи на основе стандарта RFC 822 в Интернете. User Principal Name [Type = UnicodeString]: internet-style login name for the account, based on the Internet standard RFC 822. По соглашению это должно быть соотнося с именем электронной почты учетной записи. By convention this should map to the account’s email name. Этот параметр содержит значение атрибута userPrincipalName нового объекта пользователя. This parameter contains the value of userPrincipalName attribute of new user object. Например, ksmith@contoso.local. For example, ksmith@contoso.local. Для локальных пользователей это поле не является применимым и имеет значение » — «. For local users this field is not applicable and has value “—“. Этот атрибут можно изменить, например, с помощью пользователей и компьютеров Active Directory или с помощью скрипта. You can change this attribute by using Active Directory Users and Computers, or through a script, for example.
Домашний каталог [Type = UnicodeString]: домашний каталог пользователя. Home Directory [Type = UnicodeString]: user’s home directory. Если атрибут homeDrive задан и указывает букву диска, то homeDirectory должен быть UNC-путем. If homeDrive attribute is set and specifies a drive letter, homeDirectory should be a UNC path. Путь должен быть сетью UNC формы \\Server\Share\Directory. The path must be a network UNC of the form \\Server\Share\Directory. Этот параметр содержит значение атрибута homeDirectory нового объекта пользователя. This parameter contains the value of homeDirectory attribute of new user object. Для новых локальных учетных записей это поле, как правило, имеет значение** установлено».** For new local accounts this field typically has value “ ”. Этот атрибут можно изменить, например, с помощью пользователей и компьютеров Active Directory или с помощью скрипта. You can change this attribute by using Active Directory Users and Computers, or through a script, for example. Этот параметр может не быть захвачен в событии и в этом случае отображается как «-«. This parameter might not be captured in the event, and in that case appears as “-”.
Home Drive [Type = UnicodeString]: указывает букву диска, с которой соотнесен UNC-путь, указанный атрибутом учетной записи homeDirectory. Home Drive [Type = UnicodeString]: specifies the drive letter to which to map the UNC path specified by homeDirectory account’s attribute. Буква диска должна быть указана в формате «DRIVE_LETTER:». The drive letter must be specified in the form “DRIVE_LETTER:”. Например: «H:». For example – “H:”. Этот параметр содержит значение атрибута homeDrive нового объекта пользователя. This parameter contains the value of homeDrive attribute of new user object. Этот атрибут можно изменить, например, с помощью пользователей и компьютеров Active Directory или с помощью скрипта. You can change this attribute by using Active Directory Users and Computers, or through a script, for example. Этот параметр может не быть захвачен в событии и в этом случае отображается как «-«. This parameter might not be captured in the event, and in that case appears as “-”. Для новых локальных учетных записей это поле, как правило, имеет значение** установлено».** For new local accounts this field typically has value “ ”.
Путь к сценарию [Type = UnicodeString]: указывает путь к сценарию для логотипа учетной записи. Script Path [Type = UnicodeString]: specifies the path of the account’s logon script. Этот параметр содержит значение атрибута scriptPath нового объекта пользователя. This parameter contains the value of scriptPath attribute of new user object. Этот атрибут можно изменить, например, с помощью пользователей и компьютеров Active Directory или с помощью скрипта. You can change this attribute by using Active Directory Users and Computers, or through a script, for example. Этот параметр может не быть захвачен в событии и в этом случае отображается как «-«. This parameter might not be captured in the event, and in that case appears as “-”. Для новых локальных учетных записей это поле, как правило, имеет значение** установлено».** For new local accounts this field typically has value “ ”.
Путь к профилю [Type = UnicodeString]: указывает путь к профилю учетной записи. Profile Path [Type = UnicodeString]: specifies a path to the account’s profile. Это значение может быть строкой null, локальным абсолютным путем или UNC-путем. This value can be a null string, a local absolute path, or a UNC path. Этот параметр содержит значение атрибута profilePath нового объекта пользователя. This parameter contains the value of profilePath attribute of new user object. Этот атрибут можно изменить, например, с помощью пользователей и компьютеров Active Directory или с помощью скрипта. You can change this attribute by using Active Directory Users and Computers, or through a script, for example. Этот параметр может не быть захвачен в событии и в этом случае отображается как «-«. This parameter might not be captured in the event, and in that case appears as “-”. Для новых локальных учетных записей это поле, как правило, имеет значение** установлено».** For new local accounts this field typically has value “ ”.
Рабочие станции пользователей [Type = UnicodeString]: содержит список NetBIOS- или DNS-имен компьютеров, с которых пользователь может ввести учетные данные. User Workstations [Type = UnicodeString]: contains the list of NetBIOS or DNS names of the computers from which the user can logon. Имя каждого компьютера разделено запятой. Each computer name is separated by a comma. Имя компьютера — это свойство sAMAccountName объекта пользователя. The name of a computer is the sAMAccountName property of a user object. Этот параметр содержит значение атрибута userWorkstations нового объекта пользователя. This parameter contains the value of userWorkstations attribute of new user object. Этот атрибут можно изменить, например, с помощью пользователей и компьютеров Active Directory или с помощью скрипта. You can change this attribute by using Active Directory Users and Computers, or through a script, for example. Этот параметр может не быть захвачен в событии и в этом случае отображается как «-«. This parameter might not be captured in the event, and in that case appears as “-”. Для локальных пользователей это поле не применяется и обычно имеет значение** установлено».** For local users this field is not applicable and typically has value “ ”.
Password Last Set [Type = UnicodeString]: время последнего изменения пароля учетной записи. Password Last Set [Type = UnicodeString]: last time the account’s password was modified. Для учетной записи пользователя, созданной вручную, с помощью оснастки «Пользователи и компьютеры Active Directory» это поле обычно имеет значение** «никогда»**. For manually created user account, using Active Directory Users and Computers snap-in, this field typically has value “ ”. Этот параметр содержит значение атрибута pwdLastSet нового объекта пользователя. This parameter contains the value of pwdLastSet attribute of new user object.
Истекает срок действия учетной записи [Type = UnicodeString]: дата окончания срока действия учетной записи. Account Expires [Type = UnicodeString]: the date when the account expires. Этот параметр содержит значение атрибута accountExpires нового объекта пользователя. This parameter contains the value of accountExpires attribute of new user object. Этот атрибут можно изменить, например, с помощью пользователей и компьютеров Active Directory или с помощью скрипта. You can change this attribute by using Active Directory Users and Computers, or through a script, for example. Этот параметр может не быть захвачен в событии и в этом случае отображается как «-«. This parameter might not be captured in the event, and in that case appears as “-”. Для локальных и доменных учетных записей, созданных вручную, это поле обычно имеет значение** «never».** For manually created local and domain user accounts this field typically has value “ ”.
Основной идентификатор группы [Type = UnicodeString]: относительный идентификатор (RID) основной группы объектов пользователя. Primary Group ID [Type = UnicodeString]: Relative Identifier (RID) of user’s object primary group.
**** Примечание Относительный идентификатор (RID) — это номер переменной длины, который назначен объектам при создании и становится частью идентификатора безопасности (SID) объекта, который уникальным образом идентифицирует учетную запись или группу в домене. Note Relative identifier (RID) is a variable length number that is assigned to objects at creation and becomes part of the object’s Security Identifier (SID) that uniquely identifies an account or group within a domain.
Как правило, поле «Основная группа» для новых учетных записей пользователей имеет следующие значения: Typically, Primary Group field for new user accounts has the following values:
513 (Пользователи домена. 513 (Domain Users. Для локальных учетных записей это ДДДД означает «Пользователи») для пользователей домена и локального пользователя. For local accounts this RID means Users) – for domain and local users.
Дополнительные сведения https://support.microsoft.com/kb/243330 см. в этой статье. See this article https://support.microsoft.com/kb/243330 for more information. Этот параметр содержит значение атрибута primaryGroupID нового объекта пользователя. This parameter contains the value of primaryGroupID attribute of new user object.
- Разрешено делегировать [Type = UnicodeString]: список SPNs, которым эта учетная запись может представлять делегированные учетные данные. Allowed To Delegate To [Type = UnicodeString]: the list of SPNs to which this account can present delegated credentials. Можно изменить с помощью консоли управления «Пользователи **** и компьютеры Active Directory» на вкладке «Делегирования» учетной записи пользователя, если в этой учетной записи зарегистрировано хотя бы одно spN. Can be changed using Active Directory Users and Computers management console in Delegation tab of user account, if this account has at least one SPN registered. Этот параметр содержит значение атрибута AllowedToDelegateTo нового объекта пользователя. This parameter contains the value of AllowedToDelegateTo attribute of new user object. Для локальных учетных записей пользователей это поле не применяется и обычно имеет значение — «. For local user accounts this field is not applicable and typically has value “—“. Для новых учетных записей пользователей домена обычно используется значение — «». For new domain user accounts it is typically has value “—“. См. описание поля AllowedToDelegateTo для»4738(S): учетная запись пользователя была изменена». See description of AllowedToDelegateTo field for “4738(S): A user account was changed.” событие для получения дополнительных сведений. event for more details.
**** Примечание Имя главного службы (SPN) — это имя, по которому клиент уникальным образом идентифицирует экземпляр службы. Note Service Principal Name (SPN) is the name by which a client uniquely identifies an instance of a service. При установке нескольких экземпляров службы на компьютерах в лесу у каждого экземпляра должно быть собственное SPN. If you install multiple instances of a service on computers throughout a forest, each instance must have its own SPN. У данного экземпляра службы может быть несколько spNs, если существует несколько имен, которые клиенты могут использовать для проверки подлинности. A given service instance can have multiple SPNs if there are multiple names that clients might use for authentication. Например, имя spN всегда включает имя хост-компьютера, на котором запущен экземпляр службы, поэтому экземпляр службы может зарегистрировать имя-службу для каждого имени или псевдонима своего хоста. For example, an SPN always includes the name of the host computer on which the service instance is running, so a service instance might register an SPN for each name or alias of its host.
Старое значение UAC [Type = UnicodeString]: указывает флаги, которые контролируют пароль, блокировку, отключение/включить, сценарий и другое поведение для учетной записи пользователя. Old UAC Value [Type = UnicodeString]: specifies flags that control password, lockout, disable/enable, script, and other behavior for the user account. Старое значение UAC всегда «0x0» для новых учетных записей пользователей. Old UAC value always “0x0” for new user accounts. Этот параметр содержит предыдущее значение атрибута userAccountControl объекта user. This parameter contains the previous value of userAccountControl attribute of user object.
Новое значение UAC [Type = UnicodeString]: указывает флаги, которые контролируют пароль, блокировку, отключение/включить, сценарий и другое поведение для учетной записи пользователя. New UAC Value [Type = UnicodeString]: specifies flags that control password, lockout, disable/enable, script, and other behavior for the user account. Этот параметр содержит значение атрибута userAccountControl нового объекта пользователя. This parameter contains the value of userAccountControl attribute of new user object.
Чтобы декодировать это значение, можно пройти через определения значений свойств в «Таблице 7. To decode this value, you can go through the property value definitions in the “Table 7. Флаги UAC учетной записи пользователя или компьютера». User’s or Computer’s account UAC flags.” от самого большого к наименьшему. from largest to smallest. Сравните каждое значение свойства со значением флагов в событии. Compare each property value to the flags value in the event. Если значение флагов в событии больше или равно значению свойства, свойство «set» и применяется к этому событию. If the flags value in the event is greater than or equal to the property value, then the property is «set» and applies to that event. Вычитает значение свойства из значения флагов в событии и обратите внимание, что флаг применяется, а затем перейдите к следующему флагу. Subtract the property value from the flags value in the event and note that the flag applies and then go on to the next flag.
Пример: значение flags из события: 0x15 Here’s an example: Flags value from event: 0x15
• PASSWD_NOTREQD 0x0020 • PASSWD_NOTREQD 0x0020
• БЛОКИРОВКА 0x0010 • LOCKOUT 0x0010
• HOMEDIR_REQUIRED 0x0008 • HOMEDIR_REQUIRED 0x0008
• (неразъявленный) 0x0004 • (undeclared) 0x0004
• ACCOUNTDISABLE 0x0002 • ACCOUNTDISABLE 0x0002
• Скрипт 0x0001 • SCRIPT 0x0001
0x0020 > 0x15, поэтому PASSWD_NOTREQD не применяется к этому событию 0x0020 > 0x15, so PASSWD_NOTREQD does not apply to this event
0x10 0x10 0x15 — 0x10 = 0x5 0x15 — 0x10 = 0x5
0x4 0x5, поэтому задается 0x4 Мы будем делать вид, что это ничего не значит. We’ll pretend it doesn’t mean anything. 0x5 — 0x4 = 0x1 0x5 — 0x4 = 0x1
0x2 > 0x1, поэтому ACCOUNTDISABLE не применяется к этому событию 0x2 > 0x1, so ACCOUNTDISABLE does not apply to this event
0x1 = 0x1, поэтому сценарий применяется к этому событию. 0x1 = 0x1, so SCRIPT applies to this event. 0x1 — 0x1 = 0x0, все готово. 0x1 — 0x1 = 0x0, we’re done.
Таким образом, это значение флагов UAC декодирует: LOCKOUT и SCRIPT So this UAC flags value decodes to: LOCKOUT and SCRIPT
- Контроль учетных записей [Type = UnicodeString]: отображает список изменений в атрибуте userAccountControl.User Account Control [Type = UnicodeString]: shows the list of changes in userAccountControl attribute. Вы увидите строку текста для каждого изменения. You will see a line of text for each change. Для новых учетных записей пользователей при ее создания значение userAccountControl считалось значением 0x0, а затем было изменено с «0x0» на реальное значение атрибута userAccountControl учетной записи. For new user accounts, when the object for this account was created, the userAccountControl value was considered to be “0x0”, and then it was changed from “0x0” to the real value for the account’s userAccountControl attribute. См. возможные значения в таблице ниже. See possible values in the table below. В столбце «Текст поля «Контроль учетных записей» можно увидеть **** текст, который будет отображаться в поле «Контроль учетных записей» события 4720. In the “User Account Control field text” column, you can see the text that will be displayed in the User Account Control field in 4720 event.
| Имя флага Flag Name | userAccountControl в hexadecimal userAccountControl in hexadecimal | userAccountControl в десятичной userAccountControl in decimal | Описание Description | Текст поля «Контроль учетных записей» User Account Control field text |
|---|---|---|---|---|
| SCRIPT SCRIPT | 0x0001 0x0001 | 1 1 | Сценарий для запуска будет запускаться. The logon script will be run. | Изменения этого флага не показываются в событиях 4720. Changes of this flag do not show in 4720 events. |
| ACCOUNTDISABLE ACCOUNTDISABLE | 0x0002 0x0002 | 2 2 | Учетная запись пользователя отключена. The user account is disabled. | Учетная запись отключена Account Disabled Учетная запись включена Account Enabled |
| Отменено Undeclared | 0x0004 0x0004 | 4 4 | Этот флаг не объявлен. This flag is undeclared. | Изменения этого флага не показываются в событиях 4720. Changes of this flag do not show in 4720 events. |
| HOMEDIR_REQUIRED HOMEDIR_REQUIRED | 0x0008 0x0008 | 8 8 | Требуется домашняя папка. The home folder is required. | ‘Home Directory Required’ — Enabled ‘Home Directory Required’ — Enabled ‘Home Directory Required’ — Disabled ‘Home Directory Required’ — Disabled |
| LOCKOUT LOCKOUT | 0x0010 0x0010 | 16 16 | Изменения этого флага не показываются в событиях 4720. Changes of this flag do not show in 4720 events. | |
| PASSWD_NOTREQD PASSWD_NOTREQD | 0x0020 0x0020 | 32 32 | Пароль не требуется. No password is required. | ‘Password Not Required’ — Enabled ‘Password Not Required’ — Enabled ‘Password Not Required’ — Disabled ‘Password Not Required’ — Disabled |
| PASSWD_CANT_CHANGE PASSWD_CANT_CHANGE | 0x0040 0x0040 | 64 64 | Пользователь не может изменить пароль. The user cannot change the password. Это разрешение для объекта пользователя. This is a permission on the user’s object. | Изменения этого флага не показываются в событиях 4720. Changes of this flag do not show in 4720 events. |
| ENCRYPTED_TEXT_PWD_ALLOWED ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 0x0080 | 128 128 | Пользователь может отправить зашифрованный пароль. The user can send an encrypted password. Можно установить с помощью установленного для хранения пароля с помощью обратимого шифрования. Can be set using “Store password using reversible encryption” checkbox. | «Разрешено использовать зашифрованный текстовый пароль» — отключено ‘Encrypted Text Password Allowed’ — Disabled «Разрешено использовать зашифрованный текстовый пароль» — включено ‘Encrypted Text Password Allowed’ — Enabled |
| TEMP_DUPLICATE_ACCOUNT TEMP_DUPLICATE_ACCOUNT | 0x0100 0x0100 | 256 256 | Это учетная запись для пользователей, основная учетная запись которых находится в другом домене. This is an account for users whose primary account is in another domain. Эта учетная запись предоставляет пользователю доступ к этому домену, но не к домену, который доверяет этому домену. This account provides user access to this domain, but not to any domain that trusts this domain. Такая учетная запись иногда называется локальной учетной записью пользователя. This is sometimes referred to as a local user account. | Не удается настроить учетную запись компьютера. Cannot be set for computer account. |
| NORMAL_ACCOUNT NORMAL_ACCOUNT | 0x0200 0x0200 | 512 512 | Это тип учетной записи по умолчанию, который представляет обычного пользователя. This is a default account type that represents a typical user. | «Обычная учетная запись» — отключена ‘Normal Account’ — Disabled «Обычная учетная запись» — включена ‘Normal Account’ — Enabled |
| INTERDOMAIN_TRUST_ACCOUNT INTERDOMAIN_TRUST_ACCOUNT | 0x0800 0x0800 | 2048 2048 | Это разрешение на доверие учетной записи системного домена, который доверяет другим доменам. This is a permit to trust an account for a system domain that trusts other domains. | Не удается настроить учетную запись компьютера. Cannot be set for computer account. |
| WORKSTATION_TRUST_ACCOUNT WORKSTATION_TRUST_ACCOUNT | 0x1000 0x1000 | 4096 4096 | Это учетная запись компьютера под управлением Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional или Windows 2000 Server и входит в этот домен. This is a computer account for a computer that is running Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional, or Windows 2000 Server and is a member of this domain. | ‘Workstation Trust Account’ — Disabled ‘Workstation Trust Account’ — Disabled ‘Workstation Trust Account’ — Enabled ‘Workstation Trust Account’ — Enabled |
| SERVER_TRUST_ACCOUNT SERVER_TRUST_ACCOUNT | 0x2000 0x2000 | 8192 8192 | Это учетная запись компьютера для контроллера домена, который является членом этого домена. This is a computer account for a domain controller that is a member of this domain. | ‘Server Trust Account’ — Enabled ‘Server Trust Account’ — Enabled ‘Server Trust Account’ — Disabled ‘Server Trust Account’ — Disabled |
| DONT_EXPIRE_PASSWORD DONT_EXPIRE_PASSWORD | 0x10000 0x10000 | 65536 65536 | Представляет пароль, срок действия которого для учетной записи никогда не истекает. Represents the password, which should never expire on the account. Можно установить с помощью установленного в «Срок действия пароля не истекает». Can be set using “Password never expires” checkbox. | ‘Don’t Expire Password’ — Disabled ‘Don’t Expire Password’ — Disabled «Не истекает срок действия пароля» — включено ‘Don’t Expire Password’ — Enabled |
| MNS_LOGON_ACCOUNT MNS_LOGON_ACCOUNT | 0x20000 0x20000 | 131072 131072 | Это учетная запись для логотипа MNS. This is an MNS logon account. | ‘MNS Logon Account’ — Disabled ‘MNS Logon Account’ — Disabled ‘MNS Logon Account’ — Enabled ‘MNS Logon Account’ — Enabled |
| SMARTCARD_REQUIRED SMARTCARD_REQUIRED | 0x40000 0x40000 | 262144 262144 | Если этот флаг установлен, пользователь должен войти в систему с помощью смарт-карты. When this flag is set, it forces the user to log on by using a smart card. | ‘Smartcard Required’ — Disabled ‘Smartcard Required’ — Disabled ‘Smartcard Required’ — Enabled ‘Smartcard Required’ — Enabled |
| TRUSTED_FOR_DELEGATION TRUSTED_FOR_DELEGATION | 0x80000 0x80000 | 524288 524288 | Если этот флаг установлен, учетная запись службы (учетная запись пользователя или компьютера), под которой выполняется служба, доверяет делегирования Kerberos. When this flag is set, the service account (the user or computer account) under which a service runs is trusted for Kerberos delegation. Любая такая служба может выдать себя за клиента, запрашивающий службу. Any such service can impersonate a client requesting the service. Чтобы включить службу для делегирования Kerberos, необходимо установить этот флаг для свойства userAccountControl учетной записи службы. To enable a service for Kerberos delegation, you must set this flag on the userAccountControl property of the service account. Если включить ограничение Kerberos или несоразмерно делегировать или отключить делегирования этих типов на вкладке «Делегирования», этот флаг будет изменен. If you enable Kerberos constraint or unconstraint delegation or disable these types of delegation in Delegation tab you will get this flag changed. | «Доверенный для делегирования» — включен ‘Trusted For Delegation’ — Enabled «Доверенный для делегирования» — отключен ‘Trusted For Delegation’ — Disabled |
| NOT_DELEGATED NOT_DELEGATED | 0x100000 0x100000 | 1048576 1048576 | Если этот флаг установлен, контекст безопасности пользователя не делегирован службе, даже если учетная запись службы настроена как доверенная для делегирования Kerberos. When this flag is set, the security context of the user is not delegated to a service even if the service account is set as trusted for Kerberos delegation. Можно установить с помощью «Учетная запись является конфиденциальной и не может быть делегирована». Can be set using “Account is sensitive and cannot be delegated” checkbox. | ‘Not Delegated’ — Disabled ‘Not Delegated’ — Disabled ‘Not Delegated’ — Enabled ‘Not Delegated’ — Enabled |
| USE_DES_KEY_ONLY USE_DES_KEY_ONLY | 0x200000 0x200000 | 2097152 2097152 | Ограничив этого основного, используйте только типы шифрования DES для ключей. Restrict this principal to use only Data Encryption Standard (DES) encryption types for keys. Можно установить с помощью установленного для этой учетной записи контрольного пользования «Использовать типы шифрования Kerberos DES». Can be set using “Use Kerberos DES encryption types for this account” checkbox. | «Использовать только ключ DES» — отключено ‘Use DES Key Only’ — Disabled «Использовать только ключ DES» — включено ‘Use DES Key Only’ — Enabled |
| DONT_REQ_PREAUTH DONT_REQ_PREAUTH | 0x400000 0x400000 | 4194304 4194304 | Эта учетная запись не требует предварительной проверки подлинности Kerberos для входа в систему. This account does not require Kerberos pre-authentication for logging on. Можно установить с помощью проверки «Не требовать предварительной проверки kerberos». Can be set using “Do not require Kerberos preauthentication” checkbox. | ‘Don’t Require Preauth’ — Disabled ‘Don’t Require Preauth’ — Disabled ‘Don’t Require Preauth’ — Enabled ‘Don’t Require Preauth’ — Enabled |
| PASSWORD_EXPIRED PASSWORD_EXPIRED | 0x800000 0x800000 | 8388608 8388608 | Срок действия пароля пользователя истек. The user’s password has expired. | Изменения этого флага не показываются в событиях 4720. Changes of this flag do not show in 4720 events. |
| TRUSTED_TO_AUTH_FOR_DELEGATION TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 0x1000000 | 16777216 16777216 | Учетная запись включена для делегирования. The account is enabled for delegation. Этот параметр чувствителен к безопасности. This is a security-sensitive setting. Учетные записи с включенным параметром должны строго контролироваться. Accounts that have this option enabled should be tightly controlled. Этот параметр позволяет службе, которая работает под учетной записью, принимать удостоверение клиента и проходить проверку подлинности от этого пользователя на других удаленных серверах в сети. This setting lets a service that runs under the account assume a client’s identity and authenticate as that user to other remote servers on the network. Если включить делегирования перехода протокола Kerberos или отключить этот тип делегирования на вкладке «Делегирования», этот флаг будет изменен. If you enable Kerberos protocol transition delegation or disable this type of delegation in Delegation tab you will get this flag changed. | «Доверенный для проверки подлинности для делегирования» — отключен ‘Trusted To Authenticate For Delegation’ — Disabled «Доверенный для проверки подлинности для делегирования» — включен ‘Trusted To Authenticate For Delegation’ — Enabled |
| PARTIAL_SECRETS_ACCOUNT PARTIAL_SECRETS_ACCOUNT | 0x04000000 0x04000000 | 67108864 67108864 | Учетная запись является контроллером домена только для чтения (RODC). The account is a read-only domain controller (RODC). Этот параметр чувствителен к безопасности. This is a security-sensitive setting. Удаление этого параметра из RODC скомпрометировать безопасность на этом сервере. Removing this setting from an RODC compromises security on that server. | Нет сведений. No information. |
Для новых, вручную созданных, доменных или локальных учетных записей пользователей типичные флаги: For new, manually created, domain or local user accounts typical flags are:
Учетная запись отключена Account Disabled
‘Password Not Required’ — Enabled ‘Password Not Required’ — Enabled
«Обычная учетная запись» — включена ‘Normal Account’ – Enabled
Как правило, после создания нового пользователя вы увидите пару»4738:учетная запись пользователя была изменена». After new user creation event you will typically see couple of “4738: A user account was changed.” события с новыми флагами: events with new flags:
‘Password Not Required’ – Disabled ‘Password Not Required’ – Disabled
Учетная запись включена Account Enabled
**** Параметры пользователя [Type = UnicodeString]: если изменить какой-либо параметр с помощью консоли управления «Пользователи и компьютеры Active Directory» на вкладке «Dial-in» свойств учетной записи пользователя, вы увидите, что значение ** ** но не отобразилось в этом поле в»4738:учетная запись пользователя была изменена». User Parameters [Type = UnicodeString]: if you change any setting using Active Directory Users and Computers management console in Dial-in tab of user’s account properties, then you will see in this field in “4738: A user account was changed.” Этот параметр может не быть захвачен в событии и в этом случае отображается как «-«. This parameter might not be captured in the event, and in that case appears as “-”. Для новых локальных учетных записей это поле, как правило, имеет значение** установлено».** For new local accounts this field typically has value “ ”.
Sid History [Type = UnicodeString]: содержит предыдущие коды БЕЗОПАСНОСТИ, используемые для объекта, если объект был перемещен из другого домена. SID History [Type = UnicodeString]: contains previous SIDs used for the object if the object was moved from another domain. При перемещении объекта из одного домена в другой создается новый ИД безопасности, который становится объектомSID. Whenever an object is moved from one domain to another, a new SID is created and becomes the objectSID. Предыдущий SID добавляется в свойство sIDHistory. The previous SID is added to the sIDHistory property. Этот параметр содержит значение атрибута sIDHistory нового объекта пользователя. This parameter contains the value of sIDHistory attribute of new user object. Этот параметр может не быть захвачен в событии и в этом случае отображается как «-«. This parameter might not be captured in the event, and in that case appears as “-”.
Часы работы с учетной записью [Type = UnicodeString]: часы, когда учетной записи разрешено ввести учетную запись в домен. Logon Hours [Type = UnicodeString]: hours that the account is allowed to logon to the domain. Значение атрибута logonHours нового объекта пользователя. The value of logonHours attribute of new user object. Этот атрибут можно изменить, например, с помощью пользователей и компьютеров Active Directory или с помощью скрипта. You can change this attribute by using Active Directory Users and Computers, or through a script, for example. Как правило, в событии 4720** для**новых учетных записей пользователей, созданных вручную, будет занося значение «не установлено». You will typically see “ ” value for new manually created user accounts in event 4720. Для новых локальных учетных записей это поле не применяется и обычно имеет значение «All». For new local accounts this field is not applicable and typically has value “All”.
Дополнительные сведения: Additional Information:
- Privileges [Type = UnicodeString]: список привилегий пользователя, которые использовались во время операции, например SeBackupPrivilege. Privileges [Type = UnicodeString]: the list of user privileges which were used during the operation, for example, SeBackupPrivilege. Этот параметр может не быть захвачен в событии и в этом случае отображается как «-«. This parameter might not be captured in the event, and in that case appears as “-”. Полный список привилегий пользователя см. в таблице 8. See full list of user privileges in “Table 8. Привилегии пользователя». User Privileges.”.
Рекомендации по контролю безопасности Security Monitoring Recommendations
Для 4720 (S): создана учетная запись пользователя. For 4720(S): A user account was created.
Некоторые организации отслеживают каждое событие 4720. Some organizations monitor every 4720 event.
Рассмотрите возможность отслеживания следующих полей и значений: Consider whether to track the following fields and values:
