ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Active Directory management console showing group membership configuration on a professional monitoring setup
Event ID 4752InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4752 – Microsoft-Windows-Security-Auditing : Un membre a été ajouté à un groupe global désactivé pour la sécurité

L'ID d'événement 4752 se déclenche lorsqu'un compte utilisateur ou ordinateur est ajouté à un groupe global désactivé pour la sécurité dans Active Directory, fournissant une piste d'audit pour les modifications de l'appartenance au groupe.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4752Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4752 représente un mécanisme fondamental d'audit Active Directory qui suit les ajouts aux groupes globaux désactivés pour la sécurité. Lorsque cet événement se déclenche, il indique que quelqu'un a réussi à ajouter un utilisateur, un ordinateur ou un objet de groupe à un groupe global dont les fonctionnalités de sécurité sont désactivées.

L'événement est généré sur le contrôleur de domaine qui traite la demande de modification de groupe. Windows crée cet enregistrement d'audit indépendamment du fait que le changement ait été effectué via des outils graphiques comme Utilisateurs et ordinateurs Active Directory, des utilitaires en ligne de commande tels que dsmod, ou des cmdlets PowerShell Active Directory. L'événement se déclenche également lorsque des processus automatisés ou des applications modifient l'appartenance à un groupe via des opérations LDAP.

Les groupes globaux désactivés pour la sécurité, également connus sous le nom de groupes de distribution, ne peuvent pas être utilisés dans les listes de contrôle d'accès (ACL) ou les descripteurs de sécurité. Ils servent principalement de listes de distribution d'e-mails dans les systèmes de messagerie comme Microsoft Exchange. Cependant, ces groupes peuvent être convertis en groupes activés pour la sécurité, rendant le suivi de l'appartenance crucial pour la planification de la sécurité et l'audit de conformité.

L'enregistrement de l'événement contient des informations détaillées, y compris l'identifiant de sécurité (SID) du membre ajouté et du groupe cible, le nom distinctif du groupe, et le compte qui a effectué la modification. Ce détail granulaire permet aux administrateurs de créer des pistes d'audit complètes et d'enquêter sur les modifications non autorisées des structures de groupe.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025Active Directory Domain Controllers
Analyse

Causes possibles

  • Administrateur ajoutant manuellement des utilisateurs aux groupes de distribution via Utilisateurs et ordinateurs Active Directory
  • Scripts PowerShell exécutant des cmdlets Add-ADGroupMember sur des groupes globaux désactivés pour la sécurité
  • Outils de gestion Exchange mettant automatiquement à jour les adhésions aux listes de distribution
  • Systèmes de gestion d'identité tiers synchronisant les adhésions aux groupes
  • Applications LDAP modifiant par programmation les attributs des membres de groupe
  • Opérations d'importation en masse utilisant les utilitaires csvde ou ldifde
  • Préférences de stratégie de groupe configurant les adhésions aux groupes locaux qui référencent des groupes globaux
  • Outils de migration transférant les structures de groupe entre domaines ou forêts
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Ouvrez le Visualiseur d'événements et accédez au journal de sécurité pour examiner les détails de l'événement :

  1. Appuyez sur Windows + R, tapez eventvwr.msc, et appuyez sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez 4752 dans le champ ID d'événement et cliquez sur OK
  5. Double-cliquez sur une entrée d'ID d'événement 4752 pour voir les détails
  6. Examinez les champs clés suivants dans la description de l'événement :
    • Sujet : Compte qui a effectué le changement
    • Membre : Compte qui a été ajouté au groupe
    • Groupe : Nom du groupe cible et domaine
    • Informations supplémentaires : Privilèges utilisés pour l'opération

La vue XML de l'événement fournit des données structurées pour le traitement automatisé et contient des valeurs SID pour une identification précise.

02

Interroger les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser les occurrences de l'ID d'événement 4752 sur plusieurs contrôleurs de domaine :

# Interroger les événements récents 4752 à partir du journal de sécurité local
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4752} -MaxEvents 50 | 
  Select-Object TimeCreated, Id, LevelDisplayName, Message

# Extraire des détails spécifiques des messages d'événements
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4752} -MaxEvents 10 | 
  ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
      TimeCreated = $_.TimeCreated
      SubjectUserName = $xml.Event.EventData.Data[1].'#text'
      SubjectDomainName = $xml.Event.EventData.Data[2].'#text'
      MemberName = $xml.Event.EventData.Data[6].'#text'
      GroupName = $xml.Event.EventData.Data[8].'#text'
      GroupDomain = $xml.Event.EventData.Data[9].'#text'
    }
  }

# Interroger les événements à partir du contrôleur de domaine distant
Get-WinEvent -ComputerName 'DC01.contoso.com' -FilterHashtable @{LogName='Security'; Id=4752; StartTime=(Get-Date).AddDays(-7)}

Cette approche permet la surveillance et le rapport automatisés des changements d'appartenance aux groupes dans votre infrastructure Active Directory.

03

Configurer la stratégie d'audit avancée

Assurez-vous de configurer correctement la politique d'audit pour capturer l'ID d'événement 4752 de manière cohérente :

  1. Ouvrez la Console de gestion des stratégies de groupe et modifiez la stratégie des contrôleurs de domaine par défaut
  2. Accédez à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'audit
  3. Développez Stratégies d'auditGestion des comptes
  4. Double-cliquez sur Gestion des groupes de distribution
  5. Cochez Configurer les événements d'audit suivants et sélectionnez Succès
  6. Cliquez sur OK et exécutez gpupdate /force sur les contrôleurs de domaine

Vérifiez que la politique est appliquée correctement :

# Vérifiez les paramètres actuels de la politique d'audit
auditpol /get /subcategory:"Distribution Group Management"

# Définissez la politique d'audit via la ligne de commande si nécessaire
auditpol /set /subcategory:"Distribution Group Management" /success:enable

Cela garantit que tous les changements d'appartenance aux groupes de distribution génèrent des événements d'audit pour la conformité et la surveillance de la sécurité.

04

Enquêter sur les changements d'appartenance au groupe

Corréler l'ID d'événement 4752 avec les événements connexes pour obtenir une image complète des modifications de groupe :

# Trouver tous les événements liés au groupe pour une période spécifique
$StartTime = (Get-Date).AddHours(-24)
$GroupEvents = Get-WinEvent -FilterHashtable @{
  LogName='Security'
  Id=4752,4753,4756,4757
  StartTime=$StartTime
} | Sort-Object TimeCreated

# Analyser les modèles dans les changements de groupe
$GroupEvents | Group-Object Id | Select-Object Name, Count

# Vérifier les modèles d'activité suspects
$GroupEvents | Where-Object {$_.Id -eq 4752} | 
  ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
      Time = $_.TimeCreated
      User = $xml.Event.EventData.Data[1].'#text'
      AddedMember = $xml.Event.EventData.Data[6].'#text'
      Group = $xml.Event.EventData.Data[8].'#text'
    }
  } | Group-Object User | Where-Object Count -gt 10

Faire une référence croisée avec Active Directory pour vérifier l'appartenance actuelle au groupe :

# Vérifier l'appartenance actuelle au groupe
Get-ADGroupMember -Identity "GroupName" | Select-Object Name, SamAccountName, ObjectClass

# Vérifier les propriétés du groupe
Get-ADGroup -Identity "GroupName" -Properties *
05

Mettre en œuvre la surveillance et l'alerte automatisées

Créer des solutions de surveillance automatisées pour suivre et alerter sur les occurrences de l'ID d'événement 4752 :

# Script PowerShell pour la surveillance continue
$Action = {
  $Event = $Event.SourceEventArgs.NewEvent
  $xml = [xml]$Event.ToXml()
  $GroupName = $xml.Event.EventData.Data[8].'#text'
  $AddedMember = $xml.Event.EventData.Data[6].'#text'
  $User = $xml.Event.EventData.Data[1].'#text'
  
  # Envoyer une alerte pour les groupes critiques
  if ($GroupName -match "Executive|Finance|HR") {
    Send-MailMessage -To "security@company.com" -From "monitoring@company.com" `
      -Subject "Alerte de Changement de Groupe Critique" `
      -Body "L'utilisateur $AddedMember a été ajouté à $GroupName par $User à $(Get-Date)"
  }
}

# Enregistrer le surveillant d'événements
Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Security' AND EventCode=4752" -Action $Action

Configurer le transfert d'événements Windows pour la collecte centralisée :

  1. Sur le serveur collecteur, exécutez wecutil qc pour configurer le collecteur d'événements Windows
  2. Créer un fichier de configuration d'abonnement :
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
  <SubscriptionId>GroupChanges</SubscriptionId>
  <Query>
    <![CDATA[<QueryList><Query Id="0"><Select Path="Security">*[System[EventID=4752]]</Select></Query></QueryList>]]>
  </Query>
</Subscription>

Déployer l'abonnement : wecutil cs GroupChanges.xml

Aperçu

L'ID d'événement 4752 est généré lorsqu'un membre est ajouté à un groupe global désactivé pour la sécurité dans Active Directory. Cet événement d'audit se déclenche sur les contrôleurs de domaine lorsque des modifications d'appartenance à un groupe se produisent, spécifiquement pour les groupes globaux dont la sécurité est désactivée (groupes de distribution). L'événement capture des détails critiques, y compris qui a effectué le changement, quel compte a été ajouté et le nom du groupe cible.

Cet événement fait partie de la configuration de la stratégie d'audit avancée de Windows sous l'audit de la gestion des comptes. Les administrateurs de domaine surveillent généralement cet événement pour suivre les changements non autorisés d'appartenance à des groupes et maintenir la conformité en matière de sécurité. L'événement se déclenche immédiatement lorsque la modification du groupe se produit via Active Directory Users and Computers, les cmdlets PowerShell ou les opérations LDAP programmatiques.

Contrairement aux groupes activés pour la sécurité qui contrôlent les autorisations d'accès, les groupes globaux désactivés pour la sécurité sont principalement utilisés pour les listes de distribution d'e-mails dans les environnements Exchange. Cependant, le suivi des changements d'appartenance reste important pour la sécurité organisationnelle et les exigences d'audit de conformité.

Questions Fréquentes

Quelle est la différence entre l'ID d'événement 4752 et 4728 ?+
L'ID d'événement 4752 se déclenche lorsque des membres sont ajoutés à des groupes globaux désactivés pour la sécurité (groupes de distribution), tandis que l'ID d'événement 4728 se produit lorsque des membres sont ajoutés à des groupes globaux activés pour la sécurité. La distinction clé est que les groupes désactivés pour la sécurité ne peuvent pas être utilisés dans les listes de contrôle d'accès et sont principalement utilisés pour la distribution d'e-mails, tandis que les groupes activés pour la sécurité contrôlent l'accès aux ressources. Les deux événements ont une structure similaire mais servent à des fins d'audit de sécurité différentes.
Pourquoi ne vois-je pas l'ID d'événement 4752 dans mon journal de sécurité ?+
L'ID d'événement 4752 nécessite que la politique 'Audit de la gestion des groupes de distribution' soit activée sous Configuration avancée de la stratégie d'audit. Vérifiez vos paramètres de stratégie de groupe sous Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Gestion des comptes. Assurez-vous que l'audit de 'Succès' est activé pour la gestion des groupes de distribution. Vérifiez également que vous consultez les journaux du contrôleur de domaine, car cet événement ne se génère que sur les DC qui traitent la modification du groupe.
L'ID d'événement 4752 peut-il indiquer une violation de sécurité ?+
Bien que l'ID d'événement 4752 concerne des groupes désactivés pour la sécurité qui ne contrôlent pas directement l'accès aux ressources, il peut indiquer des préoccupations de sécurité. Des ajouts non autorisés à des groupes de distribution pourraient suggérer des comptes compromis ou des menaces internes. Plus critique encore, les groupes de distribution peuvent être convertis en groupes activés pour la sécurité, donc surveiller les changements de membres aide à prévenir les attaques d'escalade de privilèges. Recherchez des motifs tels que des ajouts en masse, des ajouts en dehors des heures de travail, ou des modifications par des comptes d'utilisateurs inattendus.
Comment puis-je corréler l'ID d'événement 4752 avec les modifications de la liste de distribution Exchange ?+
L'ID d'événement 4752 dans Active Directory est lié aux modifications des listes de distribution Exchange puisque Exchange utilise des groupes de distribution AD. Consultez les journaux de la Exchange Management Shell et les journaux d'audit administrateur Exchange en parallèle avec l'ID d'événement 4752. Utilisez PowerShell pour interroger les deux : Get-WinEvent pour les événements AD et Get-AdminAuditLogConfig plus Search-AdminAuditLog pour les modifications Exchange. Les horodatages doivent correspondre lorsque des modifications de l'appartenance à la liste de distribution se produisent via la Console de gestion Exchange ou des cmdlets PowerShell comme Add-DistributionGroupMember.
Quelle information l'ID d'événement 4752 fournit-il pour l'audit de conformité ?+
L'ID d'événement 4752 fournit des données d'audit complètes, y compris l'horodatage exact de la modification, l'identifiant de sécurité (SID) et le nom du compte ayant effectué la modification, le SID et le nom du membre ajouté, le nom distingué et le SID du groupe cible, ainsi que les privilèges utilisés pour l'opération. Ces données répondent à la plupart des exigences de conformité pour le suivi des modifications d'appartenance à un groupe, y compris les normes d'audit SOX, HIPAA et PCI-DSS. L'événement inclut également le nom de la station de travail et l'ID de connexion pour une traçabilité complète.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4752 and related group management events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation for configuring advanced audit policies including Distribution Group Management auditing.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#security-auditing#event-id-4752

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...