在 Windows 服务控制上 - 如何确定谁更改了服务帐户的密码?
答案1
我如何知道谁更改了密码?
查找 4723:尝试更改帐户密码和 4724:尝试重置帐户密码
4723:尝试更改帐户密码
用户尝试更改自己的密码。主题和目标应始终匹配。不要将此事件与 4724 混淆。
如果他的新密码不符合密码策略,则此事件被记录为失败。
如果用户未能正确输入旧密码,则不会记录此事件。相反,对于域帐户,将记录 4771,并以 kadmin/changepw 作为服务名称。
本地 SAM 帐户和域帐户都会记录此事件。
您还将看到事件 ID 4738,它会告知您相同的信息。
主题:
执行操作的用户和登录会话。
- 安全 ID:帐户的 SID。
- 账户名:账户登录名。
- 帐户域:域或(本地帐户的情况下)计算机名称。
- 登录 ID 是一个半唯一(每次重启后唯一)的数字,用于标识登录会话。登录 ID 允许您向后关联登录事件 (4624) 以及在同一登录会话期间记录的其他事件。
请参阅下面的源链接以获取事件类别和子类别的完整列表。
4724:尝试重置帐户密码
主体尝试重置目标的密码:
请不要将此事件与 4723 混淆。
如果新密码不符合密码策略,则此事件将被记录为失败。
本地 SAM 帐户和域帐户都会记录此事件。
您还将看到一个或多个事件 ID 4738 告知您相同的信息。
主题:
执行操作的用户和登录会话。
- 安全 ID:帐户的 SID。
- 账户名:账户登录名。
- 帐户域:域或(本地帐户的情况下)计算机名称。
- 登录 ID 是一个半唯一(每次重启后唯一)的数字,用于标识登录会话。登录 ID 允许您向后关联登录事件 (4624) 以及在同一登录会话期间记录的其他事件。
请参阅下面的源链接以获取事件类别和子类别的完整列表。