我在生产 Windows 服务器上遇到了一个奇怪的问题,操作系统服务帐户的密码意外更改。由于服务帐户由所有业务用户使用(它是一个客户端-服务器应用程序),因此它给所有业务用户带来了广泛的问题。为了恢复服务,我们不得不将密码改回我们知道的密码。
我如何设置对此事件的监控,以便服务器团队在用户密码更改后立即收到通知?最好是相同的监控机制可以报告哪个用户更改了帐户的密码。
被更改的用户是服务器用户。它不是 Active Directory 用户。我认为这种架构不会改变,因为它被遗留程序使用。很难改变。
谢谢你帮助我!
答案1
即使不是加入域的机器,我们也可以审计账户的变化。我们可以通过gpedit.msc进行配置。
计算机配置\Windows 设置\安全设置\本地策略\审核策略\帐户管理更多详细信息,您可以参考: https://blogs.manageengine.com/active-directory/2018/08/23/monitoring-service-account-password-changes-active-directory.html