Аудит управления учетными записями
Определяет, подлежат ли аудиту все события, связанные с управлением учетными записями на устройстве.
Примеры событий управления учетными записями:
создание, изменение или удаление учетной записи пользователя или группы;
переименование, отключение или включение учетной записи пользователя;
Установка или изменение пароля
Определяя этот параметр политики, можно задать аудит успехов, аудит неудач либо отключить аудит всех типов событий. Аудит успехов означает создание записи аудита для каждого успешного события управления учетными записями. Аудит отказов означает создание записи аудита для каждого неудачного события управления учетными записями. Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок "Определить следующие параметры политики" и снимите флажки Успех и Отказ.
По умолчанию:
"Успех" — на контроллерах домена.
"Нет аудита" — на рядовых серверах.
Настройка этого параметра аудита
Настроить данный параметр безопасности можно, открыв соответствующую политику в разделе "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита".
| События управления учетными записями | Описание |
|---|---|
| 624 | Создана учетная запись пользователя. |
| 627 | Изменен пароль пользователя. |
| 628 | Установлен пароль пользователя. |
| 630 | Удалена учетная запись пользователя. |
| 631 | Создана глобальная группа. |
| 632 | Участник добавлен к глобальной группе. |
| 633 | Участник удален из глобальной группы. |
| 634 | Удалена глобальная группа. |
| 635 | Создана новая локальная группа. |
| 636 | Участник добавлен к локальной группе. |
| 637 | Участник удален из локальной группы. |
| 638 | Удалена локальная группа. |
| 639 | Изменена учетная запись локальной группы. |
| 641 | Изменена учетная запись глобальной группы. |
| 642 | Изменена учетная запись пользователя. |
| 643 | Изменена политика домена. |
| 644 | Автоматически заблокирована учетная запись пользователя. |
| 645 | Создана учетная запись компьютера. |
| 646 | Изменена учетная запись компьютера. |
| 647 | Удалена учетная запись компьютера. |
| 648 | Создана локальная группа безопасности с отключенной безопасностью.Примечание Наличие SECURITY_DISABLED в формальном имени означает, что данная группа не может использоваться для выдачи разрешений при проверке доступа.
|
| 649 | Изменена локальная группа безопасности с отключенной безопасностью. |
| 650 | Участник добавлен к локальной группе безопасности с отключенной безопасностью. |
| 651 | Участник удален из локальной группы безопасности с отключенной безопасностью. |
| 652 | Удалена локальная группа с отключенной безопасностью. |
| 653 | Создана глобальная группа с отключенной безопасностью. |
| 645 | Изменена глобальная группа с отключенной безопасностью. |
| 655 | Участник добавлен к глобальной группе с отключенной безопасностью. |
| 656 | Участник удален из глобальной группы с отключенной безопасностью. |
| 657 | Удалена глобальная группа с отключенной безопасностью. |
| 658 | Создана универсальная группа с поддержкой безопасности. |
| 659 | Изменена универсальная группа с поддержкой безопасности. |
| 660 | Участник добавлен к универсальной группе с поддержкой безопасности. |
| 661 | Участник удален из универсальной группы с поддержкой безопасности. |
| 662 | Удалена универсальная группа с поддержкой безопасности. |
| 663 | Создана универсальная группа с отключенной безопасностью. |
| 664 | Изменена универсальная группа с отключенной безопасностью. |
| 665 | Участник добавлен к универсальной группе с отключенной безопасностью. |
| 666 | Участник удален из универсальной группы с отключенной безопасностью. |
| 667 | Удалена универсальная группа с отключенной безопасностью. |
| 668 | Изменен тип группы. |
| 684 | Установка дескриптора безопасности для участников административных групп. |
| 685 | Установка дескриптора безопасности для участников административных групп.Примечание Каждые 60 минут фоновый поток на контроллере домена производит поиск всех участников административных групп (таких как администраторы домена, предприятия и схемы) и устанавливает для них заданный дескриптор безопасности. Это событие регистрируется.
|