Аудит управления учетными записями

Определяет, подлежат ли аудиту все события, связанные с управлением учетными записями на устройстве.

Примеры событий управления учетными записями:

  • создание, изменение или удаление учетной записи пользователя или группы;

  • переименование, отключение или включение учетной записи пользователя;

  • Установка или изменение пароля

Определяя этот параметр политики, можно задать аудит успехов, аудит неудач либо отключить аудит всех типов событий. Аудит успехов означает создание записи аудита для каждого успешного события управления учетными записями. Аудит отказов означает создание записи аудита для каждого неудачного события управления учетными записями. Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок "Определить следующие параметры политики" и снимите флажки Успех и Отказ.

По умолчанию:

  • "Успех" — на контроллерах домена.

  • "Нет аудита" — на рядовых серверах.

Настройка этого параметра аудита

Настроить данный параметр безопасности можно, открыв соответствующую политику в разделе "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита".

События управления учетными записямиОписание
624Создана учетная запись пользователя.
627 Изменен пароль пользователя.
628 Установлен пароль пользователя.
630Удалена учетная запись пользователя.
631Создана глобальная группа.
632 Участник добавлен к глобальной группе.
633 Участник удален из глобальной группы.
634 Удалена глобальная группа.
635Создана новая локальная группа.
636Участник добавлен к локальной группе.
637 Участник удален из локальной группы.
638Удалена локальная группа.
639Изменена учетная запись локальной группы.
641Изменена учетная запись глобальной группы.
642Изменена учетная запись пользователя.
643 Изменена политика домена.
644 Автоматически заблокирована учетная запись пользователя.
645Создана учетная запись компьютера.
646 Изменена учетная запись компьютера.
647 Удалена учетная запись компьютера.
648Создана локальная группа безопасности с отключенной безопасностью.
Примечание  Наличие SECURITY_DISABLED в формальном имени означает, что данная группа не может использоваться для выдачи разрешений при проверке доступа.
 
649Изменена локальная группа безопасности с отключенной безопасностью.
650Участник добавлен к локальной группе безопасности с отключенной безопасностью.
651Участник удален из локальной группы безопасности с отключенной безопасностью.
652Удалена локальная группа с отключенной безопасностью.
653Создана глобальная группа с отключенной безопасностью.
645Изменена глобальная группа с отключенной безопасностью.
655Участник добавлен к глобальной группе с отключенной безопасностью.
656 Участник удален из глобальной группы с отключенной безопасностью.
657Удалена глобальная группа с отключенной безопасностью.
658Создана универсальная группа с поддержкой безопасности.
659Изменена универсальная группа с поддержкой безопасности.
660Участник добавлен к универсальной группе с поддержкой безопасности.
661Участник удален из универсальной группы с поддержкой безопасности.
662 Удалена универсальная группа с поддержкой безопасности.
663Создана универсальная группа с отключенной безопасностью.
664 Изменена универсальная группа с отключенной безопасностью.
665 Участник добавлен к универсальной группе с отключенной безопасностью.
666Участник удален из универсальной группы с отключенной безопасностью.
667 Удалена универсальная группа с отключенной безопасностью.
668Изменен тип группы.
684Установка дескриптора безопасности для участников административных групп.
685Установка дескриптора безопасности для участников административных групп.
Примечание  Каждые 60 минут фоновый поток на контроллере домена производит поиск всех участников административных групп (таких как администраторы домена, предприятия и схемы) и устанавливает для них заданный дескриптор безопасности. Это событие регистрируется.
 

 

Связанные разделы

Параметры базовой политики аудита безопасности

 

 

Показ: