Как проверить, кто изменил пароль для конкретного пользователя в активном каталоге на Windows Server?
У меня есть детали об учетной записи пользователя, когда она была в последний раз изменена (сброс пароля был сделан). Но мне было бы интересно знать, кто изменил пароль для этого пользователя. Есть ли любой способ, которым я могу узнать это на окнах 2012 активный сервер каталогов.
Включение расширенного аудита на контроллерах домена для управления учетными записями: аудит управления учетными записями пользователей
Обратите внимание, что если вы включили расширенный аудит, вы не должны использовать устаревший аудит.
Вот некоторые из интересных событий:
4723: Была сделана попытка изменить пароль учетной записи
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4723
Пользователь попытался изменить свой пароль. Тема и цель всегда должны совпадать. Не путайте это событие с 4724.
Это событие регистрируется как сбой, если его новый пароль не соответствует политике паролей.
Если пользователь не может правильно ввести свой старый пароль, это событие не регистрируется. Вместо этого для учетных записей домена 4771 регистрируется с kadmin / changepw в качестве имени службы.
Это событие регистрируется как для локальных учетных записей SAM, так и для учетных записей домена.
Вы также увидите событие с идентификатором 4738, информирующее вас об этом. Информация.
4738: учетная запись пользователя была изменена
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4738
Пользователь, указанный в теме: изменил пользователя, указанного в целевой учетной записи :.
Атрибуты показывают некоторые свойства, которые были установлены во время изменения учетной записи.
Это событие регистрируется как для локальных учетных записей SAM, так и для учетных записей домена.
В зависимости от того, что было изменено, вы можете увидеть другие события управления учетными записями пользователей, относящиеся к определенным операциям, таким как сброс пароля.
4724: Была сделана попытка сбросить пароль учетной записи
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4724
Субъект попытался сбросить пароль Цели:
Не путайте это событие с 4723.
Это событие регистрируется как сбой, если новый пароль не соответствует политике паролей.
Это событие регистрируется как для локальных учетных записей SAM, так и для учетных записей домена.
Вы также увидите один или другое событие с идентификатором 4738s, информирующее вас о той же информации.
Вы можете включить аудит для изменений службы каталогов. Я не знаю окончательно, появляется ли там сброс пароля. Они, безусловно, будут изменены, но аудит может фиксировать только «нормальную» модификацию атрибутов, а это означает, что аудит может иметь представление, что изменение было выполнено от имени DC, а не в контексте конкретного пользователя или административный пользователь.
В этом отношении изменение пароля может быть особым обстоятельством. Для чего это стоит ...
https://technet.microsoft.com/en-us/library/cc731607 (v = ws.10) .aspx http://blogs.technet.com/b /askpfeplat/archive/2012/04/22/who-moved-the-ad-cheese.aspx
Без включенного аудита, я предполагаю, что даже если вы покопаетесь в каталоге, вы получите информацию только о том, что было сделано и на каком контроллере домена, но не в контексте безопасности пользователей, произошло изменение.