Windows Server Active Directory management console showing computer accounts and security event logs

Event ID 4745InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4745 – Microsoft-Windows-Security-Auditing : Compte d'ordinateur créé

L'ID d'événement 4745 enregistre la création d'un compte d'ordinateur dans Active Directory. Cet événement d'audit de sécurité suit les ajouts d'ordinateurs de domaine à des fins de conformité et de surveillance de la sécurité.

Emanuel DE ALMEIDA

18 mars 20269 min de lecture 0

Event ID 4745Microsoft-Windows-Security-Auditing 5 méthodes 9 min

Référence événement

Signification de cet événement

L'ID d'événement Windows 4745 est généré par le fournisseur Microsoft-Windows-Security-Auditing lorsqu'un compte d'ordinateur est créé avec succès dans Active Directory. Cet événement fait partie de la catégorie d'audit d'accès aux objets et nécessite que la politique "Audit de la gestion des comptes d'ordinateur" soit activée dans la stratégie de groupe ou via la configuration avancée de la politique d'audit.

L'événement contient des détails complets, y compris le sujet qui a effectué l'action (compte utilisateur et session de connexion), le compte d'ordinateur cible en cours de création, et les attributs Active Directory assignés lors de la création. Les champs clés incluent le nom du compte d'ordinateur, le nom distingué (DN), l'identifiant de sécurité (SID), et l'unité organisationnelle où le compte a été placé.

Cet événement d'audit est essentiel pour les cadres de conformité comme SOX, HIPAA, et PCI-DSS qui nécessitent une journalisation détaillée des changements de répertoire. Les équipes de sécurité utilisent l'événement 4745 pour détecter les ajouts non autorisés d'ordinateurs, suivre les expansions légitimes du domaine, et enquêter sur les tentatives potentielles d'escalade de privilèges via la manipulation de comptes d'ordinateur.

L'événement se déclenche sur le contrôleur de domaine qui traite la demande de création de compte d'ordinateur, ce qui le rend crucial pour surveiller tous les contrôleurs de domaine dans les environnements multi-DC. Les solutions SIEM modernes analysent cet événement pour corréler la création de comptes d'ordinateur avec les tentatives d'authentification ultérieures et les applications de politique.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025Windows 10Windows 11

Analyse

Causes possibles

Administrateur de domaine créant des comptes d'ordinateur via Utilisateurs et ordinateurs Active Directory
Systèmes automatisés ou scripts ajoutant des ordinateurs au domaine lors du déploiement
Ordinateur rejoignant le domaine pour la première fois via Propriétés système ou PowerShell
Exchange Server ou d'autres applications créant des comptes d'ordinateur à des fins de service
System Center Configuration Manager (SCCM) créant des comptes lors du déploiement du système d'exploitation
Outils de gestion d'identité tiers provisionnant des comptes d'ordinateur
Cmdlets PowerShell comme New-ADComputer étant exécutés
Applications LDAP créant des objets d'ordinateur de manière programmatique dans Active Directory

Méthodes de résolution

Étapes de dépannage

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails de l'événement pour comprendre qui a créé le compte d'ordinateur et quand.

Ouvrez Observateur d'événements sur le contrôleur de domaine
Accédez à Journaux Windows → Sécurité
Filtrez pour l'ID d'événement 4745 en utilisant l'option de filtre
Double-cliquez sur l'événement pour voir les détails, y compris :
- Sujet : Compte utilisateur qui a créé l'ordinateur
- Compte d'ordinateur : Nom et SID du nouvel ordinateur
- Attributs : DN, nom de compte SAM et placement dans l'OU
Notez l'horodatage et corrélez-le avec toute maintenance ou activité de déploiement programmée

Astuce pro : Vérifiez le champ "ID de connexion" pour corréler avec d'autres événements de sécurité de la même session.

Interroger les événements avec PowerShell

Utilisez PowerShell pour récupérer et analyser les événements de création de comptes d'ordinateur sur plusieurs contrôleurs de domaine.

Exécutez PowerShell en tant qu'administrateur sur un contrôleur de domaine ou une station de gestion

Interrogez les créations récentes de comptes d'ordinateur :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4745} -MaxEvents 50 | Select-Object TimeCreated, Id, @{Name='Computer';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Account Name:*'})[1] -replace '.*Account Name:\s*',''}}, @{Name='Creator';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Subject:*' -and $_ -like '*Account Name:*'})[0] -replace '.*Account Name:\s*',''}} | Format-Table -AutoSize

Filtrez les événements par plage de temps spécifique :

$StartTime = (Get-Date).AddDays(-7)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4745; StartTime=$StartTime}
$Events | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        ComputerName = $EventXML.Event.EventData.Data[5].'#text'
        CreatedBy = $EventXML.Event.EventData.Data[1].'#text'
        OU = $EventXML.Event.EventData.Data[7].'#text'
    }
} | Format-Table -AutoSize

Exportez les résultats pour une analyse plus approfondie :

$Events | Export-Csv -Path "C:\Temp\ComputerAccountCreation.csv" -NoTypeInformation

Vérifier la configuration de la politique d'audit

Assurez-vous que les politiques d'audit appropriées sont configurées pour capturer les événements de gestion des comptes d'ordinateur.

Vérifiez les paramètres actuels de la politique d'audit :
```
auditpol /get /subcategory:"Computer Account Management"
```

Si ce n'est pas activé, configurez la politique d'audit :

auditpol /set /subcategory:"Computer Account Management" /success:enable /failure:enable

Vérifiez les paramètres de la stratégie de groupe dans la Console de gestion des stratégies de groupe :
Accédez à Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la politique d'audit
Développez Gestion des comptes et vérifiez Audit de la gestion des comptes d'ordinateur
Assurez-vous que les succès et les échecs sont configurés
Forcez la mise à jour de la stratégie de groupe :
```
gpupdate /force
```

Avertissement : L'activation d'un audit étendu peut générer de grands volumes d'événements. Surveillez la taille des journaux et les politiques de rétention.

Enquêter sur la création de comptes non autorisés

Lorsque l'événement 4745 apparaît de manière inattendue, enquêtez sur les implications potentielles en matière de sécurité.

Identifiez la source de la création du compte d'ordinateur :

$SuspiciousEvent = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4745} -MaxEvents 1
$EventXML = [xml]$SuspiciousEvent.ToXml()
$CreatorSID = $EventXML.Event.EventData.Data[0].'#text'
$ComputerSID = $EventXML.Event.EventData.Data[4].'#text'

Vérifiez si le compte créateur dispose des autorisations appropriées :

Get-ADUser -Identity $CreatorSID -Properties MemberOf | Select-Object Name, MemberOf

Vérifiez les détails du compte d'ordinateur :

Get-ADComputer -Identity $ComputerSID -Properties Created, CreatedBy, DistinguishedName

Cherchez des événements d'authentification liés :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625; StartTime=(Get-Date).AddHours(-2)} | Where-Object {$_.Message -like "*$CreatorSID*"}

Vérifiez les modifications ultérieures du compte d'ordinateur :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4741,4743} | Where-Object {$_.Message -like "*$ComputerSID*"}

Examinez les événements de connexion réseau à partir du nouveau compte d'ordinateur

Mettre en œuvre la surveillance et l'alerte automatisées

Configurez une surveillance proactive pour les événements de création de comptes d'ordinateur afin de détecter les anomalies.

Créez une tâche planifiée pour surveiller l'événement 4745:

$Action = New-ScheduledTaskAction -Execute 'PowerShell.exe' -Argument '-File C:\Scripts\Monitor-ComputerAccounts.ps1'
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 15) -RepetitionDuration (New-TimeSpan -Days 365)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable
Register-ScheduledTask -TaskName "Monitor Computer Account Creation" -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM"

Créez le script de surveillance à C:\Scripts\Monitor-ComputerAccounts.ps1:

# Monitor-ComputerAccounts.ps1
$LastCheck = (Get-Date).AddMinutes(-15)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4745; StartTime=$LastCheck} -ErrorAction SilentlyContinue

if ($Events) {
    foreach ($Event in $Events) {
        $EventXML = [xml]$Event.ToXml()
        $ComputerName = $EventXML.Event.EventData.Data[5].'#text'
        $Creator = $EventXML.Event.EventData.Data[1].'#text'
        
        # Send alert email or log to SIEM
        Write-EventLog -LogName Application -Source "AD Monitor" -EventId 1001 -Message "Computer account $ComputerName created by $Creator"
    }
}

Configurez le transfert des événements Windows pour centraliser les journaux:
```
wecutil cs C:\Config\ComputerAccountSubscription.xml
```
Configurez des règles de corrélation SIEM pour détecter des modèles comme des créations rapides multiples de comptes d'ordinateur ou des créations en dehors des heures ouvrables
Mettez en place des alertes basées sur des seuils pour des volumes inhabituels d'événements de création de comptes d'ordinateur

Astuce pro : Intégrez avec Microsoft Sentinel ou d'autres solutions SIEM pour des capacités avancées de détection de menaces et de réponse automatisée.

Aperçu

L'ID d'événement 4745 se déclenche chaque fois qu'un compte d'ordinateur est créé dans Active Directory. Cet événement d'audit de sécurité apparaît dans le journal de sécurité sur les contrôleurs de domaine et fournit des informations détaillées sur qui a créé le compte d'ordinateur, quand il a été créé et dans quelle unité organisationnelle il a été placé. L'événement fait partie de la configuration avancée de la stratégie d'audit de Windows sous l'audit de la gestion des comptes.

Cet événement est crucial pour la surveillance de la sécurité car la création non autorisée de comptes d'ordinateur peut indiquer des violations potentielles de la sécurité ou des violations de politique. Les administrateurs de domaine comptent sur cet événement pour suivre les ajouts légitimes d'ordinateurs lors des jonctions de domaine, des processus d'imagerie et des expansions d'infrastructure. L'événement capture l'identifiant de sécurité (SID) du créateur et du nouveau compte d'ordinateur, ainsi que les horodatages et les détails de localisation au sein de la structure du répertoire.

L'événement 4745 apparaît généralement aux côtés de l'événement 4741 (compte d'ordinateur modifié) et de l'événement 4743 (compte d'ordinateur supprimé) pour fournir une piste d'audit complète de la gestion du cycle de vie des comptes d'ordinateur dans les environnements Active Directory.

Questions Fréquentes

Que signifie l'ID d'événement 4745 et quand se produit-il ?+

L'ID d'événement 4745 indique qu'un compte d'ordinateur a été créé dans Active Directory. Cet événement se produit chaque fois qu'un nouvel objet ordinateur est ajouté au domaine, que ce soit par création manuelle par les administrateurs, par des processus de déploiement automatisés, ou lorsque des ordinateurs rejoignent le domaine pour la première fois. L'événement est enregistré sur le contrôleur de domaine qui traite la demande de création de compte et fournit des informations détaillées sur qui a créé le compte, quand il a été créé, et où il a été placé dans la structure du répertoire.

Comment puis-je savoir qui a créé un compte d'ordinateur à partir de l'événement 4745 ?+

L'événement 4745 contient des informations détaillées sur le sujet qui identifient qui a créé le compte d'ordinateur. Dans les détails de l'événement, recherchez la section 'Sujet' qui inclut le Nom du Compte, le Domaine du Compte et l'ID de Connexion de l'utilisateur qui a effectué l'action. Vous pouvez également trouver l'ID de Sécurité (SID) du créateur. Si la création a été effectuée par un compte de service ou un processus automatisé, cela sera reflété dans les informations du sujet. Faites une référence croisée de l'ID de Connexion avec d'autres événements de sécurité pour obtenir une image complète de la session qui a créé le compte.

Pourquoi ne vois-je pas l'événement 4745 dans mon journal de sécurité ?+

L'événement 4745 nécessite l'activation de politiques d'audit spécifiques. Vous devez configurer 'Audit de la gestion des comptes d'ordinateur' sous Configuration avancée des stratégies d'audit ou activer 'Audit de la gestion des comptes' dans la stratégie d'audit de base. Vérifiez vos paramètres de stratégie de groupe sous Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée des stratégies d'audit → Gestion des comptes. Assurez-vous que l'audit des réussites et des échecs est activé. Vérifiez également que la politique est appliquée à vos contrôleurs de domaine en exécutant 'gpupdate /force' et en vérifiant avec 'auditpol /get /subcategory:"Computer Account Management"'.

L'événement 4745 peut-il aider à détecter les menaces de sécurité ?+

Oui, l'événement 4745 est précieux pour la surveillance de la sécurité et la détection des menaces. La création non autorisée de comptes d'ordinateur peut indiquer plusieurs problèmes de sécurité : des attaquants tentant d'établir une persistance en créant des comptes d'ordinateur malveillants, des tentatives d'escalade de privilèges ou des violations de politiques. Surveillez les comptes d'ordinateur créés en dehors des heures ouvrables normales, par des utilisateurs non autorisés ou dans des unités organisationnelles inhabituelles. Corrélez l'événement 4745 avec les événements d'authentification ultérieurs (4624/4625) et les événements de modification de compte (4741) pour identifier des schémas suspects. Mettez en place des alertes pour les créations rapides multiples de comptes d'ordinateur ou les comptes créés par des utilisateurs non administratifs.

Comment interroger l'événement 4745 sur plusieurs contrôleurs de domaine ?+

Pour interroger l'Événement 4745 sur plusieurs contrôleurs de domaine, utilisez PowerShell avec Invoke-Command pour exécuter des requêtes à distance. Tout d'abord, obtenez votre liste de contrôleurs de domaine avec 'Get-ADDomainController -Filter *', puis utilisez un script comme : 'Invoke-Command -ComputerName $DCs -ScriptBlock { Get-WinEvent -FilterHashtable @{LogName="Security"; Id=4745} -MaxEvents 100 }'. Pour une surveillance centralisée, configurez Windows Event Forwarding (WEF) pour collecter les événements de sécurité de tous les contrôleurs de domaine vers un collecteur central. Vous pouvez également utiliser des outils comme Microsoft Sentinel, Splunk ou d'autres solutions SIEM pour agréger et analyser ces événements dans toute votre infrastructure Active Directory.

Documentation

Références (2)

Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4745 and related computer account management events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview

Advanced Audit Policy ConfigurationOfficial documentation for configuring advanced audit policies including computer account management auditing.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings

Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs

Event 6276

Microsoft-Windows-Security-Auditing

Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min

Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment

Event 6274

Microsoft-Windows-Security-Auditing

Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min

Network Policy Server monitoring dashboard showing authentication events and security logs

Event 6273

Microsoft-Windows-Security-Auditing

Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min

Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs

Event 6272

Microsoft-Windows-Security-Auditing

Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...