Аудит управления учетными записями
Описание
Этот параметр безопасности определяет, подлежат ли аудиту все события, связанные с управлением учетными записями на компьютере. К таким событиям относятся, в частности, следующие:
• создание, изменение или удаление учетной записи пользователя или группы;
• переименование, отключение или включение учетной записи пользователя;
• задание или изменение пароля.
Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждого успешного события управления учетными записями. Аудит отказов означает создание записи аудита для каждого неудачного события управления учетными записями. Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики, установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.
По умолчанию
• «Нет аудита» — для рядовых компьютерах
Весьма желательно включать «Успех», чтобы знать, какие учетные записи пользователей появились на Вашем ПК без Вашего же ведома.
Далее таблица значений кодов событий управления УЗ.
Cобытия управления учетными записями |
Описание |
624 |
Создана учетная запись пользователя. |
627 |
Изменен пароль пользователя. |
628 |
Установлен пароль пользователя. |
630 |
Удалена учетная запись пользователя. |
631 |
Создана глобальная группа. |
632 |
Член добавлен к глобальной группе. |
633 |
Член удален из глобальной группы. |
634 |
Удалена глобальная группа. |
635 |
Создана новая локальная группа. |
636 |
Член добавлен к локальной группе. |
637 |
Член удален из локальной группы. |
638 |
Удалена локальная группа. |
639 |
Изменена учетная запись локальной группы. |
641 |
Изменена учетная запись глобальной группы. |
642 |
Изменена учетная запись пользователя. |
643 |
Изменена политика домена. |
644 |
Автоматически блокирована учетная запись пользователя. |
645 |
Создана учетная запись компьютера. |
646 |
Изменена учетная запись компьютера. |
647 |
Удалена учетная запись компьютера. |
648 |
Создана локальная группа безопасности с отключенной проверкой безопасности.
Примечание
• |
Наличие SECURITY_DISABLED в формальном имени означает, что данная группа не может использоваться для выдачи разрешений при проверке доступа. |
|
649 |
Изменена локальная группа безопасности с отключенной проверкой безопасности. |
650 |
Член добавлен к локальной группе безопасности с отключенной проверкой безопасности. |
651 |
Член удален из локальной группы безопасности с отключенной проверкой безопасности. |
652 |
Удалена локальная группа с отключенной проверкой безопасности. |
653 |
Создана глобальная группа с отключенной проверкой безопасности. |
654 |
Изменена глобальная группа с отключенной проверкой безопасности. |
655 |
Член добавлен к глобальной группе с отключенной проверкой безопасности. |
656 |
Член удален из глобальной группы с отключенной проверкой безопасности. |
657 |
Удалена глобальная группа с отключенной проверкой безопасности. |
658 |
Создана универсальная группа с проверкой безопасности. |
659 |
Изменена универсальная группа с проверкой безопасности. |
660 |
Член добавлен к универсальной группе с проверкой безопасности. |
661 |
Член удален из универсальной группы с проверкой безопасности. |
662 |
Удалена универсальная группа с проверкой безопасности. |
663 |
Создана универсальная группа с отключенной проверкой безопасности. |
664 |
Изменена универсальная группа с отключенной проверкой безопасности. |
665 |
Член добавлен к универсальной группе с отключенной проверкой безопасности. |
666 |
Член удален из универсальной группы с отключенной проверкой безопасности. |
667 |
Удалена универсальная группа с отключенной проверкой безопасности. |
668 |
Изменен тип группы. |
684 |
Установка дескриптора безопасности для членов административных групп.
Примечание
• |
Каждые 60 минут фоновый поток на контроллере домена производит поиск всех членов административных групп (таких как администраторы домена, предприятия и схемы) и устанавливает для них заданный дескриптор безопасности. Это событие регистрируется. |
|
685 |
Изменено имя учетной записи. |
Аудит доступа к службе каталогов
Описание
Этот параметр безопасности определяет, подлежит ли аудиту событие доступа пользователя к объекту каталога Active Directory, для которого задана собственная системная таблица управления доступом (SACL). Нам не нужен, т.к. нету у нас домена J
|