En este artículo veremos cómo averiguar la fecha en que se creó un usuario en Active Directory; cómo usar PowerShell para obtener información de los registros de eventos del controlador de dominio sobre quién creó la cuenta de usuario y cuándo el usuario inició sesión por última vez en el dominio. Estas tareas a menudo ocurren cuando se auditan cuentas de usuario en Active Directory, se encuentran y se eliminan objetos de AD inactivos o se recopilan estadísticas.

Fecha de creación de cuentas de usuario de AD

Puede obtener la fecha de creación de cualquier objeto de Active Directory (usuario, computadora o grupo) a través de ADUC (dsa.msc) complemento gráfico (asegúrese de habilitar la opción Funciones avanzadas en el menú Ver).

  1. Encuentre el usuario requerido en el árbol ADUC manualmente o usando la función de búsqueda AD;
  2. Abra las propiedades del usuario y seleccione el Objeto pestaña;
  3. La fecha en que se creó el objeto en Active Directory se especifica en el Creado campo.

El mismo valor se puede obtener con el editor de atributos AD integrado (whenCreated atributo).

whencreated atributo directorio activo

Además, puede usar el cmdlet Get-ADUser del módulo AD PowerShell para obtener la fecha de creación de una cuenta de usuario:

Get-ADUser a.brion –properties name,whencreated|select name,whencreated

Powershell: cómo verificar la fecha de creación de la cuenta de usuario de Active Directory con get-aduser

Puede obtener la hora del último inicio de sesión del usuario en el dominio utilizando el lastLogon o lastLogonTimpestamp atributos. Si desea obtener el historial de inicio de sesión del usuario mediante los registros de seguridad de los controladores de dominio, utilice la siguiente guía.

Encontrar cuentas de Active Directory creadas recientemente con PowerShell

Con un simple script de PowerShell, puede enumerar las cuentas de usuario creadas recientemente en Active Directory. Para hacer esto, use el cmdlet Get-ADUser para seleccionar todos los usuarios y filtrarlos por el valor del cuando fue creado atributo de usuario. Por ejemplo, el siguiente script de PowerShell enumerará los usuarios creados en Active Directory en las últimas 24 horas:

$lastday = ((Get-Date).AddDays(-1))
$filename = Get-Date -Format yyyy.MM.dd
$exportcsv=”c:psnew_ad_users_” + $filename + “.csv”
Get-ADUser -filter {(whencreated -ge $lastday)} –properties whencreated | Select-Object Name, UserPrincipalName, SamAccountName, whencreated | Export-csv -path $exportcsv

En este ejemplo, la lista de cuentas de AD se guarda en un archivo con la fecha actual como nombre. Puede hacer que este script se ejecute diariamente a través del Programador de tareas de Windows. Como resultado, los archivos que contienen la información sobre la fecha de creación de nuevas cuentas se guardarán en el directorio que especificó. Puede agregar cualquier otro atributo de los usuarios de Active Directory a su informe (consulte el artículo sobre el uso del cmdlet Get-ADUser).

obtener una lista de cuentas creadas recientemente en el directorio activo

¿Cómo saber quién creó una cuenta de usuario en Active Directory?

Si hay varios administradores en su dominio de Active Directory, o si ha delegado los permisos para crear y editar cuentas de usuario a otros usuarios que no son administradores (por ejemplo, al personal de recursos humanos), es posible que le interese la información sobre el nombre del usuario. quién creó la cuenta específica en Active Directory. Esta información se puede encontrar en los registros de seguridad de los controladores de dominio de Active Directory.

Cuando crea un nuevo usuario en el dominio, un evento con EventID 4720 de la fuente de Administración de cuentas de usuario aparece en el registro de seguridad del controlador de dominio (solo en el DC, en el que se ha creado la cuenta). La Auditoría de la gestión de cuentas de usuario La directiva debe estar habilitada en el GPO del controlador de dominio predeterminado.

La descripción de este evento contiene la cadena: A user account was created. La Sujeto El campo contiene la cuenta con la que se creó la nueva cuenta de usuario de AD (resaltada en la captura de pantalla siguiente). El nuevo nombre de usuario se especifica en el Nueva cuenta campo.

Id. De evento 4720: se creó una cuenta de usuario.

Debe recopilar 4720 eventos de todos los controladores de dominio. Puede obtener una lista de controladores de dominio mediante el cmdlet Get-ADDomainController. Entonces queda comprobar el evento 4720 en cada uno de ellos y crear un informe resultante. La secuencia de comandos para obtener todos los eventos de creación de cuentas de los registros del controlador de dominio durante las últimas 24 horas puede tener este aspecto:

$Report = @()
$time = (get-date) - (new-timespan -hour 24)
$AllDCs = Get-ADDomainController -Filter *
ForEach($DC in $AllDCs)
{
Get-WinEvent -ComputerName $dc.Name -FilterHashtable @{LogName="Security";ID=4720;StartTime=$Time}| Foreach {
$event = [xml]$_.ToXml()
if($event)
{
$Time = Get-Date $_.TimeCreated -UFormat "%Y-%m-%d %H:%M:%S"
$CreatorUser = $event.Event.EventData.Data[4]."#text"
$NewUser = $event.Event.EventData.Data[0]."#text"
$objReport = [PSCustomObject]@{
User = $NewUser
Creator = $CreatorUser
DC = $event.Event.System.computer
CreationDate = $Time
}
}
$Report += $objReport
}
}
$Report

Cómo detectar quién creó una cuenta de usuario en Active Directory a través del script de PowerShell

Como resultado, tienes una $Report objeto que contiene información sobre quién creó el usuario de AD, cuándo y en qué controlador de dominio.

Puede exportar el informe a un archivo CSV:

$filename = Get-Date -Format yyyy.MM.dd
$exportcsv=”c:psad_users_creators” + $filename + “.csv”
$Report | Export-Csv $exportcsv -append -NoTypeInformation -Delimiter ","

Recomendado para ti

RebajasBestseller No. 1
Rii X1 Mini Teclado inalámbrico 2.4GHz con ratón táctil, Control Remoto.Mini Wireless Keyboard - Compatible con Smart TV, Mini PC Android, Playstation, Xbox, HTPC, PC, Raspberry Pi (Layout español)
  • Manejable, portable, elegante y moderno. Un gran accesorio para tu ordenador portátil y de sobremesa, para PS3 o para Wii videoconsolas
  • Dispositivo inalámbrico 2.4 Ghz con receptor integrado. (Para Samsung TV, nuestro producto no funciona con la mayoría de ellos, pero si su TV es compatible con teclado, también es compatible con nuestro producto.)
  • Es el primer mando en incluir el diseño Touchpad 90º Flip-Design, para usar el touchpad tanto en vertical como en horizontal.
  • Con un touchpad real, como el de un Notebook. Diseño del teclado QWERTY. Control multimedia de Windows. Además de un control perfecto de otras características multimedia de tu ordenador.
  • Requerimientos del Sistema: Windows 2000, Windows XP, Windows Vista, Windows CE, Windows 7, Linux.¡OJO! Si tiene algún problema mientras usándolo, primero recárgalo completamente después probarlo otra vez. Si sigue teniendo problema, contáctanos mediante el mensaje de comrpador porfa.
RebajasBestseller No. 2