查看谁更改了用户的密码 powershell

Question

为了能够知道谁更改了密码，您需要先启用 Active Directory 审核。只有在启用 AD 审核后进行的密码更改才会被记录。密码更改记录为 Windows 事件 ID 4723 和 4724。您可以使用 powershell 通过 cmdlet 访问 Windows 事件 628 Get-WinEvent。

事件消息如下：

Target Account Name: %1
Target Domain: %2
Target Account ID: %3
Caller User Name: %4
Caller Domain: %5
Caller Logon ID: %6

要使用 powershell 获取事件，您可以像这样对其进行过滤：

Get-WinEvent -LogName Security -FilterHashtable @{id=628}

要启用 Active Directory 审核：https://technet.microsoft.com/en-us/library/cc731607(v=ws.10).aspx

有关该 cmdlet 的更多信息Get-WinEvent：https://technet.microsoft.com/en-us/library/hh849682.aspx

Answer 1

为了能够知道谁更改了密码，您需要先启用 Active Directory 审核。只有在启用 AD 审核后进行的密码更改才会被记录。密码更改记录为 Windows 事件 ID 4723 和 4724。您可以使用 powershell 通过 cmdlet 访问 Windows 事件 628 Get-WinEvent。

事件消息如下：

Target Account Name: %1
Target Domain: %2
Target Account ID: %3
Caller User Name: %4
Caller Domain: %5
Caller Logon ID: %6

要使用 powershell 获取事件，您可以像这样对其进行过滤：

Get-WinEvent -LogName Security -FilterHashtable @{id=628}

要启用 Active Directory 审核：https://technet.microsoft.com/en-us/library/cc731607(v=ws.10).aspx

有关该 cmdlet 的更多信息Get-WinEvent：https://technet.microsoft.com/en-us/library/hh849682.aspx

查看谁更改了用户的密码 powershell

答案1

相关内容