审核用户帐户管理确定在执行特定用户帐户管理任务时操作系统是否生成审核事件。

事件卷：低。

此策略设置允许审核对用户帐户的更改。 事件包括：

创建、更改、删除、重命名、禁用、启用、锁定或解锁用户帐户。

设置或更改用户帐户的密码。

SID) (安全标识符将添加到用户帐户的 SID 历史记录中，或者无法添加。

已配置目录服务还原模式密码。

管理用户帐户的权限已更改。

枚举了用户的本地组成员身份。

凭据管理器凭据已备份或还原。

此子类别中的某些事件（例如 4722、4725、4724 和 4781）也针对计算机帐户生成。

事件列表：

4720 (S) ：创建了用户帐户。

4722 (S) ：已启用用户帐户。

4723 (S、F) ：尝试更改帐户的密码。

4724 (S、F) ：尝试重置帐户的密码。

4725 (S) ：已禁用用户帐户。

4726 (S) ：已删除用户帐户。

4738 (S) ：用户帐户已更改。

4740 (S) ：用户帐户被锁定。

4765 (S) ：SID 历史记录已添加到帐户。

4766 (F) ：尝试将 SID 历史记录添加到帐户失败。

4767 (S) ：用户帐户已解锁。

4780 (S) ：ACL 是在管理员组成员的帐户上设置的。

4781 (S) ：帐户的名称已更改。

4794 (S、F) ：尝试设置目录服务还原模式管理员密码。

4798 (S) ：枚举了用户的本地组成员身份。

5376 (S) ：备份了凭据管理器凭据。

5377 (S) ：从备份还原了凭据管理器凭据。