如何检查谁在 Windows 服务器上的活动目录中重置了特定用户的密码?

如何检查谁在 Windows 服务器上的活动目录中重置了特定用户的密码?

我有用户帐户上次修改时的详细信息(已重置密码)。但我有兴趣知道是谁重置了此用户的密码。我有什么办法可以在 Windows 2012 Active Directory 服务器上找到此信息吗?

答案1

在域控制器上启用帐户管理的高级审核:审核用户帐户管理

请注意,如果启用高级审计,则不能使用旧式审计。

以下是一些值得关注的事件:

4723:尝试更改帐户密码
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4723

用户尝试更改自己的密码。主题和目标应始终匹配。不要将此事件与 4724 混淆。

如果他的新密码不符合密码策略,则此事件被记录为失败。

如果用户未能正确输入旧密码,则不会记录此事件。相反,对于域帐户,将记录 4771,并以 kadmin/changepw 作为服务名称。

本地 SAM 帐户和域帐户都会记录此事件。

您还将看到事件 ID 4738,它会告知您相同的信息。


4738:用户帐户已更改
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4738

主题所标识的用户:更改了目标帐户所标识的用户:。

属性显示了帐户更改时设置的一些属性。

本地 SAM 帐户和域帐户都会记录此事件。

根据更改的内容,您可能会看到特定于某些操作(例如密码重置)的其他用户帐户管理事件。


4724:尝试重置帐户密码
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4724

主体尝试重置目标的密码:

请不要将此事件与 4723 混淆。

如果新密码不符合密码策略,则此事件将被记录为失败。

本地 SAM 帐户和域帐户都会记录此事件。

您还将看到一个或多个事件 ID 4738 告知您相同的信息。

答案2

您可以启用目录服务更改的审核。我不确定密码重置是否会出现在那里。它们肯定会更改,但审核可能只会捕获属性的“正常”修改,这意味着审核可能认为更改是在 DC 的授权下执行的,而不是在特定用户或管理用户的上下文中执行的。

在这方面,修改密码可能是一种特殊情况。无论如何……

https://technet.microsoft.com/en-us/library/cc731607(v=ws.10).aspx http://blogs.technet.com/b/askpfeplat/archive/2012/04/22/who-moved-the-ad-cheese.aspx

如果没有启用审核,我的猜测是,即使你深入研究目录,你也只能获得有关已完成的操作和在哪个域控制器上执行的信息,但无法获得哪些用户的安全上下文导致了更改。

相关内容