ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows domain controller displaying Active Directory computer accounts management console
Event ID 4741InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4741 – Microsoft-Windows-Security-Auditing : Compte d'ordinateur créé

L'ID d'événement 4741 se logue lorsqu'un compte d'ordinateur est créé dans Active Directory. Cet événement d'audit de sécurité suit les opérations de jonction de domaine et la création d'objets d'ordinateur pour la surveillance de la conformité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4741Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4741 représente un événement d'audit de sécurité fondamental dans les environnements Windows Active Directory. Lorsqu'un compte d'ordinateur est créé dans le domaine, que ce soit par des processus automatisés de jonction de domaine ou par des actions administratives manuelles, cet événement capture la piste d'audit complète, y compris les horodatages, les détails du compte et le contexte de sécurité de l'opération de création.

La structure de l'événement comprend plusieurs champs critiques : le nom du compte d'ordinateur nouvellement créé, son identifiant de sécurité (SID), le nom de domaine, et surtout, les informations sur le sujet montrant qui ou quel processus a initié la création du compte. Ces données sur le sujet incluent l'ID de connexion, le nom du compte et le domaine de l'entité responsable de l'action, fournissant une responsabilité complète pour les opérations de gestion des comptes d'ordinateur.

D'un point de vue sécurité, l'ID d'événement 4741 sert à plusieurs fins. Il permet aux administrateurs de suivre les opérations légitimes de jonction de domaine, de vérifier que seuls les personnels autorisés ajoutent des systèmes au domaine, et de détecter les incidents de sécurité potentiels où des attaquants pourraient tenter de créer des comptes d'ordinateur pour la persistance ou le mouvement latéral. L'événement soutient également les exigences de conformité dans les environnements réglementés où le suivi des actifs informatiques et la documentation de la gestion des changements sont obligatoires.

Le timing de l'événement est crucial pour les scénarios de réponse aux incidents. Étant donné que les comptes d'ordinateur sont souvent créés lors du déploiement initial du système ou lors de la reconstruction de systèmes compromis, la corrélation de l'ID d'événement 4741 avec d'autres événements de sécurité peut révéler des chronologies d'attaque et aider à identifier l'étendue des incidents de sécurité impliquant un accès ou un déploiement non autorisé du système.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025Windows 10Windows 11
Analyse

Causes possibles

  • Opérations de jonction de domaine lorsque des stations de travail ou des serveurs sont ajoutés au domaine Active Directory
  • Création manuelle de comptes d'ordinateur via la console Utilisateurs et ordinateurs Active Directory
  • Cmdlets PowerShell comme New-ADComputer exécutés par les administrateurs
  • Scripts de provisionnement automatisés ou outils de déploiement créant des objets d'ordinateur
  • System Center Configuration Manager ou outils de gestion similaires ajoutant des comptes d'ordinateur
  • Installation d'Exchange Server créant des comptes d'ordinateur pour les serveurs Exchange
  • Service de cluster créant des objets d'ordinateur virtuels pour les clusters de basculement
  • Outils de gestion de domaine tiers ou API créant des comptes d'ordinateur de manière programmatique
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails complets de l'événement pour comprendre le contexte de la création du compte d'ordinateur.

  1. Ouvrez Observateur d'événements sur le contrôleur de domaine où l'événement a été enregistré
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4741 en utilisant l'option de filtre ou la fonctionnalité de recherche
  4. Double-cliquez sur l'événement pour voir des informations détaillées, y compris :
    • Sujet : Montre qui a créé le compte (Nom du compte, Domaine du compte, ID de connexion)
    • Nouveau compte d'ordinateur : Affiche le nom du compte créé et le SID
    • Attributs : Liste les propriétés du compte d'ordinateur définies lors de la création
  5. Notez l'horodatage pour le corréler avec d'autres activités de jonction de domaine ou actions administratives
  6. Vérifiez si le compte utilisateur créateur dispose des autorisations appropriées pour la création de compte d'ordinateur
Astuce pro : Recherchez des modèles dans les heures de création de comptes d'ordinateur et les conventions de nommage pour identifier les processus de déploiement automatisés par rapport aux actions administratives manuelles.
02

Interroger les événements avec PowerShell pour l'analyse

Utilisez PowerShell pour interroger et analyser efficacement les événements de création de comptes d'ordinateur sur plusieurs contrôleurs de domaine.

  1. Ouvrez PowerShell en tant qu'administrateur sur un contrôleur de domaine ou un système avec RSAT installé
  2. Interrogez les événements récents de création de comptes d'ordinateur :
    Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4741} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Filtrez les événements par plage de temps spécifique :
    $StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4741; StartTime=$StartTime; EndTime=$EndTime}
  4. Extrayez des détails spécifiques des données de l'événement :
    Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4741} -MaxEvents 20 | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        ComputerAccount = $Event.Event.EventData.Data[0].'#text'
        CreatedBy = $Event.Event.EventData.Data[4].'#text'
        Domain = $Event.Event.EventData.Data[5].'#text'
    }
}
  5. Exportez les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4741} | Export-Csv -Path "C:\Temp\ComputerAccountCreation.csv" -NoTypeInformation
Avertissement : Les grands domaines peuvent générer des milliers de ces événements. Utilisez des filtres de temps appropriés et des paramètres MaxEvents pour éviter les problèmes de performance.
03

Corréler avec les événements de jonction de domaine

Recoupez l'ID d'événement 4741 avec les événements de jonction de domaine associés pour obtenir une vue complète des ajouts de système au domaine.

  1. Interrogez les événements de jonction de domaine associés sur le même contrôleur de domaine :
    $ComputerName = "WORKSTATION01"
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=@(4741,4742,4743)} | Where-Object {$_.Message -like "*$ComputerName*"}
  2. Vérifiez le journal Système pour les événements Netlogon correspondants :
    Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Netlogon'} -MaxEvents 100 | Where-Object {$_.Message -like "*$ComputerName*"}
  3. Examinez le journal du service d'annuaire pour un contexte supplémentaire :
    Get-WinEvent -FilterHashtable @{LogName='Directory Service'} -MaxEvents 50 | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-1)}
  4. Examinez les événements d'enregistrement DNS qui suivent généralement les jonctions de domaine :
    Get-WinEvent -FilterHashtable @{LogName='DNS Server'; ID=@(2,6527,6528)} | Where-Object {$_.Message -like "*$ComputerName*"}
  5. Créez une chronologie des événements associés :
    $Events = @()
$Events += Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4741} -MaxEvents 10
$Events += Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Netlogon'} -MaxEvents 10
$Events | Sort-Object TimeCreated | Select-Object TimeCreated, LogName, Id, Message
04

Enquêter sur la création non autorisée de comptes informatiques

Lorsque l'ID d'événement 4741 apparaît de manière inattendue, enquêtez sur les implications potentielles en matière de sécurité et la création non autorisée de comptes.

  1. Identifiez le compte utilisateur qui a créé le compte d'ordinateur :
    Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4741} -MaxEvents 20 | ForEach-Object {
    $Event = [xml]$_.ToXml()
    $CreatedBy = $Event.Event.EventData.Data[4].'#text'
    $ComputerAccount = $Event.Event.EventData.Data[0].'#text'
    Write-Output "Ordinateur : $ComputerAccount créé par : $CreatedBy à $($_.TimeCreated)"
}
  2. Vérifiez les autorisations de l'utilisateur créateur dans Active Directory :
    Import-Module ActiveDirectory
$UserAccount = "DOMAIN\username"
Get-ADUser -Identity $UserAccount -Properties MemberOf | Select-Object Name, MemberOf
  3. Vérifiez si le compte d'ordinateur existe toujours et son statut actuel :
    $ComputerName = "SUSPICIOUS-PC"
Get-ADComputer -Identity $ComputerName -Properties Created, LastLogonDate, OperatingSystem
  4. Examinez les événements de connexion récents pour le compte utilisateur créateur :
    Get-WinEvent -FilterHashtable @{LogName='Security'; ID=@(4624,4625)} | Where-Object {$_.Message -like "*username*"} | Select-Object TimeCreated, Id, Message
  5. Examinez les paramètres de stratégie de groupe et de délégation :
    Get-ADOrganizationalUnit -Filter * -Properties gPLink | Where-Object {$_.gPLink -ne $null} | Select-Object Name, DistinguishedName
  6. Si la création non autorisée est confirmée, désactivez immédiatement le compte d'ordinateur :
    Disable-ADAccount -Identity "SUSPICIOUS-PC"
Set-ADComputer -Identity "SUSPICIOUS-PC" -Description "Désactivé en raison de création non autorisée - $(Get-Date)"
Avertissement : La désactivation des comptes d'ordinateur empêchera immédiatement le système associé de s'authentifier sur le domaine. Assurez-vous d'avoir l'autorisation appropriée avant de prendre cette mesure.
05

Mettre en œuvre la surveillance et l'alerte pour la création de comptes d'ordinateur

Configurez une surveillance proactive pour détecter et alerter sur les événements de création de comptes d'ordinateur à des fins de sécurité et de conformité.

  1. Créez un abonnement personnalisé de transfert d'événements Windows pour centraliser l'ID d'événement 4741:
    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>ComputerAccountCreation</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Monitor computer account creation events</Description>
    <Query>
        <![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="Security">*[System[EventID=4741]]</Select>
            </Query>
        </QueryList>
        ]]>
    </Query>
</Subscription>
  2. Configurez une tâche planifiée pour exécuter le script de surveillance:
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-ComputerAccountCreation.ps1"
$Trigger = New-ScheduledTaskTrigger -Daily -At "09:00AM"
Register-ScheduledTask -TaskName "Monitor Computer Account Creation" -Action $Action -Trigger $Trigger
  3. Créez un script de surveillance PowerShell qui vérifie les nouveaux événements:
    # Monitor-ComputerAccountCreation.ps1
$LastCheck = (Get-Date).AddDays(-1)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4741; StartTime=$LastCheck}

foreach ($Event in $Events) {
    $EventXML = [xml]$Event.ToXml()
    $ComputerAccount = $EventXML.Event.EventData.Data[0].'#text'
    $CreatedBy = $EventXML.Event.EventData.Data[4].'#text'
    
    # Send alert email or write to monitoring system
    Write-EventLog -LogName Application -Source "ComputerAccountMonitor" -EventId 1001 -Message "Computer account $ComputerAccount created by $CreatedBy"
}
  4. Configurez des alertes du journal des événements Windows à l'aide du Planificateur de tâches:
    $TaskAction = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command Send-MailMessage -To 'admin@company.com' -From 'alerts@company.com' -Subject 'Computer Account Created' -Body 'Event ID 4741 detected' -SmtpServer 'mail.company.com'"
$TaskTrigger = New-CimInstance -ClassName MSFT_TaskEventTrigger -Namespace Root/Microsoft/Windows/TaskScheduler -ClientOnly
$TaskTrigger.Subscription = '<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[EventID=4741]]</Select></Query></QueryList>'
Register-ScheduledTask -TaskName "Alert on Computer Account Creation" -Action $TaskAction -Trigger $TaskTrigger
  5. Configurez la politique d'audit pour garantir que l'ID d'événement 4741 est enregistré:
    auditpol /set /subcategory:"Computer Account Management" /success:enable /failure:enable
Conseil pro : Envisagez de mettre en œuvre des alertes basées sur des seuils pour éviter la fatigue des notifications dans les environnements avec une création fréquente et légitime de comptes d'ordinateur.

Aperçu

L'ID d'événement 4741 se déclenche chaque fois qu'un compte d'ordinateur est créé dans Active Directory. Cet événement d'audit de sécurité fait partie du cadre d'audit complet de Windows et apparaît dans le journal de sécurité sur les contrôleurs de domaine. L'événement capture des détails critiques sur la création de comptes d'ordinateur, y compris le nom du compte, l'identifiant de sécurité (SID) et l'utilisateur ou le processus responsable de la création.

Cet événement se produit généralement lors des opérations de jonction de domaine lorsque des stations de travail ou des serveurs sont ajoutés au domaine. Il se déclenche également lorsque les administrateurs créent manuellement des objets d'ordinateur via Utilisateurs et ordinateurs Active Directory, des cmdlets PowerShell ou des scripts de provisionnement automatisés. L'événement est essentiel pour la surveillance de la sécurité car la création non autorisée de comptes d'ordinateur pourrait indiquer des tentatives d'escalade de privilèges ou un déploiement de système non autorisé.

Les contrôleurs de domaine génèrent cet événement par défaut lorsque l'audit d'accès aux objets est activé. L'événement fournit une valeur médico-légale pour suivre quand les systèmes ont rejoint le domaine et identifier qui a autorisé l'ajout. Les équipes de sécurité s'appuient sur l'ID d'événement 4741 pour les rapports de conformité et la détection de modèles de création de comptes d'ordinateur suspects qui pourraient indiquer un mouvement latéral ou un accès non autorisé au domaine.

Questions Fréquentes

Que signifie l'ID d'événement 4741 et quand se produit-il ?+
L'ID d'événement 4741 indique qu'un compte d'ordinateur a été créé dans Active Directory. Cet événement se produit chaque fois qu'un nouvel objet ordinateur est ajouté au domaine, généralement lors des opérations de jonction de domaine lorsque des stations de travail ou des serveurs sont ajoutés au réseau. Il se déclenche également lorsque les administrateurs créent manuellement des comptes d'ordinateur via des outils de gestion ou lorsque des systèmes de provisionnement automatisés déploient de nouveaux systèmes. L'événement est enregistré sur les contrôleurs de domaine et fournit une piste d'audit des activités de création de comptes d'ordinateur à des fins de surveillance de la sécurité et de conformité.
Comment puis-je identifier qui a créé un compte d'ordinateur spécifique en utilisant l'ID d'événement 4741 ?+
Les détails de l'ID d'événement 4741 incluent des informations complètes sur le sujet montrant exactement qui a créé le compte d'ordinateur. Dans le Visualiseur d'événements, examinez la section 'Sujet' qui affiche le nom du compte, le domaine du compte et l'ID de connexion de l'utilisateur ou du processus responsable de la création. Vous pouvez également utiliser PowerShell pour extraire ces informations de manière programmatique en analysant les données XML de l'événement. L'événement capture à la fois le contexte de sécurité de l'entité créatrice et les détails du compte d'ordinateur nouvellement créé, fournissant une responsabilité complète pour l'action.
L'ID d'événement 4741 est-il une préoccupation de sécurité nécessitant une attention immédiate ?+
L'ID d'événement 4741 est en soi un événement d'audit informatif et n'est pas intrinsèquement une préoccupation de sécurité. Cependant, la création inattendue ou non autorisée de comptes d'ordinateur peut indiquer des problèmes de sécurité tels que l'escalade de privilèges, le déploiement de systèmes malveillants ou des tentatives de mouvement latéral par des attaquants. L'événement devient préoccupant lorsqu'il se produit en dehors des processus commerciaux normaux, implique des utilisateurs non autorisés ou montre des schémas suggérant une activité malveillante. La surveillance régulière de ces événements aide à détecter les anomalies et garantit que seuls le personnel autorisé ajoute des systèmes au domaine.
Pourquoi ne vois-je pas l'ID d'événement 4741 dans mon journal de sécurité ?+
L'ID d'événement 4741 nécessite que des paramètres de stratégie d'audit spécifiques soient activés. Si vous ne voyez pas ces événements, vérifiez que 'Audit de la gestion des comptes d'ordinateur' est activé dans votre stratégie de groupe ou votre stratégie de sécurité locale. Utilisez la commande 'auditpol /get /subcategory:"Computer Account Management"' pour vérifier le paramètre actuel. La stratégie doit être configurée pour auditer à la fois les événements de réussite et d'échec. De plus, assurez-vous de vérifier le journal de sécurité sur les contrôleurs de domaine, car c'est là que les événements de création de comptes d'ordinateur sont enregistrés. La stratégie d'audit peut être configurée via la console de gestion des stratégies de groupe sous Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Configuration avancée de la stratégie d'audit.
Comment puis-je corréler l'ID d'événement 4741 avec les opérations réelles de jonction de domaine ?+
Pour corréler l'ID d'événement 4741 avec les opérations de jonction de domaine, examinez plusieurs sources d'événements simultanément. Vérifiez le journal Système pour les événements Netlogon qui indiquent une authentification de domaine réussie, examinez les journaux du serveur DNS pour les événements d'enregistrement DNS dynamique, et recherchez des événements correspondants comme 4742 (compte d'ordinateur modifié) ou 4743 (compte d'ordinateur supprimé). La corrélation temporelle est cruciale - les opérations de jonction de domaine génèrent généralement l'ID d'événement 4741 suivi d'événements d'authentification Netlogon en quelques minutes. Vous pouvez utiliser PowerShell pour créer une chronologie des événements liés en interrogeant plusieurs journaux et en triant par horodatage pour voir la séquence complète d'un système rejoignant le domaine.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4741 and related computer account management events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation on configuring audit policies for computer account management and other security events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#security-auditing#event-id-4741

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...