ID d'événement Windows 4765 – Microsoft-Windows-Security-Auditing : Échec de la gestion du compte utilisateur

Commencez par examiner les détails spécifiques de l'échec dans le Visualiseur d'événements pour comprendre quelle opération a échoué et pourquoi.

1. Ouvrez Visualiseur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4765 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
4. Entrez 4765 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur un événement 4765 pour voir des informations détaillées
6. Examinez la section Sujet pour identifier qui a tenté l'opération
7. Vérifiez la section Compte cible pour voir quel utilisateur ou groupe était en cours de modification
8. Examinez la section Informations supplémentaires pour la raison spécifique de l'échec
9. Notez l'horodatage et corrélez avec d'autres activités administratives

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4765} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

Vérifiez si le compte tentant l'opération dispose de permissions suffisantes pour les tâches de gestion des utilisateurs.

1. Identifiez le compte source à partir des détails de l'Observateur d'événements (section Sujet)
2. Ouvrez Utilisateurs et ordinateurs Active Directory sur un contrôleur de domaine
3. Accédez au compte utilisateur qui a tenté l'opération échouée
4. Cliquez avec le bouton droit sur le compte et sélectionnez Propriétés
5. Cliquez sur l'onglet Membre de pour examiner les appartenances aux groupes
6. Vérifiez que le compte appartient aux groupes administratifs appropriés comme Admins du domaine, Opérateurs de compte, ou des groupes délégués personnalisés
7. Vérifiez les paramètres de délégation en cliquant avec le bouton droit sur l'OU cible et en sélectionnant Déléguer le contrôle
8. Examinez l'assistant de délégation pour vous assurer que les permissions appropriées sont accordées

Utilisez PowerShell pour vérifier les appartenances aux groupes de manière programmatique :

Get-ADUser -Identity "username" -Properties MemberOf | Select-Object -ExpandProperty MemberOf | Get-ADGroup | Select-Object Name, GroupScope

Vérifiez les permissions spécifiques sur les objets utilisateur :

Import-Module ActiveDirectory
(Get-Acl "AD:\CN=Users,DC=domain,DC=com").Access | Where-Object {$_.IdentityReference -like "*username*"} | Format-Table IdentityReference, ActiveDirectoryRights, AccessControlType

Examinez les paramètres de stratégie de groupe qui pourraient empêcher l'opération de gestion des utilisateurs de réussir.

1. Ouvrez la Console de gestion des stratégies de groupe en exécutant gpmc.msc
2. Accédez à l'UO contenant les comptes d'utilisateurs cibles
3. Examinez les GPO liés pour les restrictions de gestion des comptes d'utilisateurs
4. Vérifiez Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Politiques locales → Attribution des droits utilisateur
5. Vérifiez les paramètres pour "Créer un objet jeton", "Agir en tant que partie du système d'exploitation" et "Se connecter en tant que service"
6. Examinez Politiques de compte → Politique de mot de passe pour les restrictions qui pourraient causer des échecs
7. Examinez les paramètres de Politiques de compte → Politique de verrouillage de compte
8. Vérifiez les modèles administratifs personnalisés qui restreignent les opérations de gestion des utilisateurs

Utilisez PowerShell pour analyser les paramètres de stratégie de groupe effectifs :

Get-GPResultantSetOfPolicy -ReportType Html -Path "C:\GPReport.html" -Computer $env:COMPUTERNAME

Interrogez les paramètres de stratégie spécifiques qui affectent la gestion des utilisateurs :

Get-GPO -All | Get-GPPermission -All | Where-Object {$_.Permission -eq "GpoApply" -and $_.Trustee.Name -like "*username*"}

Vérifiez l'état de la réplication Active Directory et la santé du contrôleur de domaine, car les problèmes de réplication peuvent entraîner des échecs de gestion des utilisateurs.

1. Ouvrez l'Invite de commandes en tant qu'administrateur sur un contrôleur de domaine
2. Exécutez repadmin /showrepl pour vérifier l'état de la réplication
3. Exécutez repadmin /replsummary pour obtenir un aperçu de la santé de la réplication
4. Utilisez dcdiag /v pour effectuer un diagnostic complet du contrôleur de domaine
5. Vérifiez la résolution DNS avec nslookup domain.com
6. Vérifiez la synchronisation de l'heure en utilisant w32tm /query /status
7. Examinez le journal des services d'annuaire dans le Visualiseur d'événements pour les erreurs de réplication
8. Vérifiez la connectivité réseau entre les contrôleurs de domaine en utilisant ping et telnet

Utilisez PowerShell pour vérifier l'état de la réplication sur tous les contrôleurs de domaine :

Get-ADReplicationFailure -Target (Get-ADDomainController -Filter *) | Format-Table Server, FirstFailureTime, FailureCount, LastError

Surveillez l'intégrité de la base de données Active Directory :

Get-WinEvent -FilterHashtable @{LogName='Directory Service'; Level=2,3} -MaxEvents 20 | Select-Object TimeCreated, Id, LevelDisplayName, Message

Configurez des politiques d'audit détaillées pour capturer des informations plus granulaires sur les échecs de gestion des utilisateurs et mettez en œuvre une surveillance proactive.

1. Ouvrez Group Policy Management Console et modifiez la Default Domain Controllers Policy
2. Accédez à Computer Configuration → Windows Settings → Security Settings → Advanced Audit Policy Configuration
3. Développez Account Management et configurez ce qui suit :
• Activez Audit User Account Management pour Success et Failure
• Activez Audit Security Group Management pour Success et Failure
• Activez Audit Distribution Group Management pour Success et Failure
4. Appliquez la politique et exécutez gpupdate /force sur les contrôleurs de domaine
5. Configurez la taille du journal de sécurité pour accueillir le volume accru de journaux
6. Configurez le transfert de journaux vers un système central SIEM ou de gestion des journaux

Créez un script de surveillance PowerShell pour une surveillance continue :

# Surveillez l'ID d'événement 4765 en temps réel
Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Security' AND EventCode=4765" -Action {
    $Event = $Event.SourceEventArgs.NewEvent
    Write-Host "Échec de gestion des utilisateurs détecté : $($Event.TimeGenerated)" -ForegroundColor Red
    # Ajoutez ici la logique de notification
}

Configurez des alertes automatisées à l'aide de Windows Task Scheduler :

$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor4765.ps1"
$Trigger = New-ScheduledTaskTrigger -AtStartup
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
Register-ScheduledTask -TaskName "Monitor Event 4765" -Action $Action -Trigger $Trigger -Settings $Settings