Win2k пользователь? - Операционные системы M$

redy · 03.03.2005, 22:00

Имеется пользователи:
(А) -с правами админа
(Б) -с правами админа
(В) - пользователь простой.
Вопрос : можна ли как то узнать каким из админов (А или Б) бил создан пользователь (В) ?

Зарание спасиба

Mg0 · 04.03.2005, 01:00

Насколько я себе представляю ситуацию, НЕЛЬЗЯ.

pazdak · 04.03.2005, 10:50

redy
Все это можно узнать только если настроена "политика аудита" в Групповой политике.
Аудит управления учетными записями (Audit Account Management):
Определяет, подлежат ли аудиту все события, связанные с управлением учетными записями на компьютере. К таким событиям относятся, в частности, следующие:
* создание, изменение или удаление учетной записи пользователя или группы;
* переименование, отключение или включение учетной записи пользователя;
* задание или изменение пароля.

Т.е. пока не включена политика аудита узнать это нельзя !!!
Правилами аудита предписывается заносить в журнал события, относящиеся к категории безопасности. Поэтому записи о них будут появляться в журнале Security. Возможна регистрация как удачных, так и неудачных событий.

redy · 19.03.2005, 16:21

Аудит управления учетными записями (Audit Account Management):
А можно ещё как то а то журнал и удалить можна?

pazdak · 21.03.2005, 09:58

Если только свой софт наваять...
Т.е. по другому я не знаю, хотя тоже очень хотел в свое время, но ничего стоящего не нашел...
Могу только предлажить несколько вариантов:
1) Договориться о административных наказаниях, если очищается журнал без его сохранения !!!

Да и если даже журнал очищается, создается событие, что такой-то пользователь очистил журнал !!!

2) Использовать программы, которые умеют собирать журналы на другую машину (одна из них GFI LANguard Security Event Log Monitor), например каждый час, т.е. даже если кто-то очистил журнал, то в едином месте все должно быть пучком, только вот одно но у меня русские буквы через раз понимались, что очень неудобно?..

3) Бесплатный LogParser от Microsoft
h**p://logparser.com/
h**p://www.microsoft.com/technet/scriptcenter/tools/logparser/default.mspx
но для его работы придется погрузиться в написание скриптов по сбору лог-файлов и их обработки.
Сам не пробывал, но читал об этом...

03.03.2005, 22:00	# 1
redy Junior Member Регистрация: 03.07.2003 Сообщения: 53	Win2k пользователь? Имеется пользователи: (А) -с правами админа (Б) -с правами админа (В) - пользователь простой. Вопрос : можна ли как то узнать каким из админов (А или Б) бил создан пользователь (В) ? Зарание спасиба

04.03.2005, 01:00	# 2
Mg0 ::VIP:: Железный Дровосек Регистрация: 01.10.2003 Адрес: 1/6 суши Пол: Male Сообщения: 3 510	Насколько я себе представляю ситуацию, НЕЛЬЗЯ. __________________ Я только снаружи страшОн, а внутри... внутри я... просто УЖАСЕН!

04.03.2005, 10:50	# 3
pazdak Advanced Member Регистрация: 21.06.2004 Сообщения: 403	redy Все это можно узнать только если настроена "политика аудита" в Групповой политике. Аудит управления учетными записями (Audit Account Management): Определяет, подлежат ли аудиту все события, связанные с управлением учетными записями на компьютере. К таким событиям относятся, в частности, следующие: * создание, изменение или удаление учетной записи пользователя или группы; * переименование, отключение или включение учетной записи пользователя; * задание или изменение пароля. Т.е. пока не включена политика аудита узнать это нельзя !!! Правилами аудита предписывается заносить в журнал события, относящиеся к категории безопасности. Поэтому записи о них будут появляться в журнале Security. Возможна регистрация как удачных, так и неудачных событий.

19.03.2005, 16:21	# 4
redy Junior Member Регистрация: 03.07.2003 Сообщения: 53	Аудит управления учетными записями (Audit Account Management): А можно ещё как то а то журнал и удалить можна?

21.03.2005, 09:58	# 5
pazdak Advanced Member Регистрация: 21.06.2004 Сообщения: 403	Если только свой софт наваять... Т.е. по другому я не знаю, хотя тоже очень хотел в свое время, но ничего стоящего не нашел... Могу только предлажить несколько вариантов: 1) Договориться о административных наказаниях, если очищается журнал без его сохранения !!! Да и если даже журнал очищается, создается событие, что такой-то пользователь очистил журнал !!! 2) Использовать программы, которые умеют собирать журналы на другую машину (одна из них GFI LANguard Security Event Log Monitor), например каждый час, т.е. даже если кто-то очистил журнал, то в едином месте все должно быть пучком, только вот одно но у меня русские буквы через раз понимались, что очень неудобно?.. 3) Бесплатный LogParser от Microsoft hp://logparser.com/ hp://www.microsoft.com/technet/scriptcenter/tools/logparser/default.mspx но для его работы придется погрузиться в написание скриптов по сбору лог-файлов и их обработки. Сам не пробывал, но читал об этом...