• 首页
  • 文章首页
  • 如何检测谁在 Active Directory 中启用了禁用的用户账户?

如何检测谁在 Active Directory 中启用了禁用的用户账户?

引言:无密码并不是“不要密码”,而是改变访问方式

在企业日常运维中,被禁用的 Active Directory(AD)账户本应处于“不可使用”的安全状态,但一旦被悄然重新启用,就可能成为攻击者入侵系统的突破口。例如离职员工账号被恢复使用、高权限账户被私自启用,甚至内部人员绕过流程进行违规操作,这些行为往往难以及时察觉,却可能直接导致数据泄露、权限滥用等严重安全事件。问题的关键在于,大多数企业无法第一时间回答“是谁启用了账户、何时启用、从哪里操作”,从而错失最佳处置时机,使账户安全风险持续扩大。

一、使用 PowerShell 查找是谁启用了用户账户的步骤

对域控制器(DC)执行以下操作:

1.点击开始,搜索WindowsPowerShell,右键点击,然后选择以管理员身份运行。

2.请在控制台输入以下脚本:

Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4722} | Select-Object -Property *

标题

3.按下回车键。

4.该脚本将显示已启用的用户账户。在输出中,在“消息 → 主体 → 账户名”下,可以找到启用目标用户账户的用户姓名和安全ID。

5.注意:如果你使用工作站,以下脚本应在PowerShell上运行:

6.Get-EventLog -LogName Security -ComputerName <DC name>| Where-Object {$_.EventID -eq 4722} | Select-Object -Property *

标题

其中<DC名称>是你想检查启用用户账户详情的域控制器名称。

通过原生审计,你可以搜索事件并关注用户对象的变更。然而,当你要面对成百上千的用户与频繁变更,手动查日志、写脚本极为繁琐,无法实时监控与告警,也缺少直观报表与上下文信息,难以定位异常操作,完全无法满足规模化、合规化、高实时性的 AD 运维管理需求。

ADAudit Plus 是实时的 Active Directory 审计软件,帮助获取对 AD 对象及其属性的更改的可视化。监控用户账户生命周期的每个阶段,并详细说明是谁发起的,从哪里发起的,以及何时发起的。

二、使用 ADAudit Plus 只需几次点击即可轻松识别谁启用了用户账户

面对原生审计的短板,卓豪 ADAudit Plus 提供了更简单、更安全的 AD 审计方案,无需脚本、无需翻日志,三步即可完成查询:

打开 ADAudit Plus 控制台,使用管理员权限登录;

进入 报表 → Active Directory → 用户管理 → 最近启用的用户;

直接查看完整操作记录,包括操作者、操作时间、来源 IP、目标账户等全量信息。

标题

凭借实时采集、集中存储、可视化展示的能力,ADAudit Plus 让 AD 账户审计从 “人工排查” 升级为 “全自动可视”。

三、ADAudit Plus 对比原生审计的核心优势

(1)AD 对象全生命周期审计

全面覆盖用户、计算机、组、组策略、OU 等所有 AD 对象的全生命周期操作,从账户创建、属性修改、启用禁用、权限变更到账户删除与恢复,每一步操作都完整留痕,清晰记录谁、在何时、从哪台设备、执行了什么操作,让 AD 环境全程可追溯、可审计、可管控。

(2)用户行为分析(UBA)智能风险检测

内置专业用户行为分析引擎,能够自动学习企业正常操作基线,精准识别各类高风险异常行为。例如高频批量启用 / 禁用账户、非工作时间异常登录、连续登录失败、越权访问敏感资源、异常权限变更等,一旦发现风险立即实时告警,从源头防范内部违规与外部攻击。

(3)账户锁定分析器一键快速排障

提供专业化账户锁定诊断工具,自动分析并定位账户锁定的根本原因,包括密码多次错误、跨域认证异常、组策略冲突、设备会话残留等,直接展示锁定来源、设备、时间与触发详情,无需人工逐条排查,大幅缩短排障时间,显著提升 IT 运维效率与用户体验。

(4)预置合规报表,一键导出满足监管要求

内置等保 2.0、SOX、HIPAA、GDPR、PCI-DSS 等国内外主流法规所需的审计报表模板,无需手动整理日志、无需编写复杂查询语句,一键生成标准化报告,支持 PDF、Excel、CSV、HTML 等多种格式导出,直接用于监管汇报、外部审计与内部自查,大幅降低企业合规成本。

四、总结

Active Directory 账户的每一次启用操作,都可能隐藏着潜在的安全风险。相比依赖日志与脚本的传统审计方式,ADAudit Plus 通过实时采集、集中分析与可视化展示,将复杂的审计过程转变为直观、高效的安全管理能力,不仅可以快速定位“谁启用了账户”,还能够全面追踪所有关键变更行为并及时发现异常。无论是提升运维效率,还是满足合规审计要求,ADAudit Plus 都提供了更加智能、可靠的解决方案。

如果希望摆脱繁琐的日志排查,实现对 AD 环境的持续监控与风险预警,不妨立即免费下载试用,快速构建更安全、更可控的身份管理体系。

附加常见问题(FAQs)

  1. ADAudit Plus 是否支持对组策略(GPO)的变更进行实时审计与告警?

    支持。ADAudit Plus 可全面监控组策略的创建、修改、删除、链接、权限变更等所有操作,实时记录操作人、来源IP、变更内容,并支持邮件、短信、钉钉、企业微信等多渠道告警,确保GPO变更全程可控。

  2. ADAudit Plus 能否实现AD日志的长期存储与合规归档?

    可以。产品支持AD安全日志的集中采集、加密存储与长期归档,可自定义存储周期,满足等保、金融、医疗等行业对日志留存1年以上的监管要求,且支持快速检索与溯源。

  3. ADAudit Plus 是否支持混合AD环境(本地域+Azure AD)统一审计?

    支持。ADAudit Plus 可同时对本地Active Directory和Azure AD进行统一审计,覆盖云+端用户、组、应用、权限、登录等全场景操作,实现混合身份环境的可视化与合规管控。