我发现自己陷入了困境,基本上当我尝试访问我管理的其中一个服务器时我无法登录,因为密码不正确……
我没有更改此密码,因此我必须使用本地管理员帐户重置密码才能重新登录。
“安全”的本地事件日志没有显示任何有关更改密码或设置事件的信息 - 永远没有。 - 有超过 233,000 个日志,所以我认为我找错了地方。
但是 Powershell 命令:NET USER "loginid" | find /i "password last set"确实返回了我几分钟前更改的日期和时间。
我如何才能看到密码更改的完整列表?或者至少是之前更改的密码?
答案1
打开事件查看器并在安全日志中筛选此事件 ID:
事件 ID 628:用户帐户密码已设置
此事件表示“调用方”用户重置了“目标”用户的密码。密码重置不需要知道当前密码。有关用户自己更改密码的信息,请参阅事件 627。此事件还将伴随事件 642,显示密码上次设置日期字段已更新。
答案2
根据终极 Windows 安全您应该在安全事件日志中查找以下事件:
- 4723 用户已更改密码
- 4724 帐户操作员重置密码
其中任何一个都会触发事件 4738 用户帐户已更改。
如果密码不符合复杂性要求,则该事件将被记录为审核失败而不是审核成功。
如果用户未能正确输入旧密码,则不会记录上述事件,但是在域控制器上,您将因相关的 Kerberos 预身份验证失败而收到事件 4771。