查看谁更改了用户的密码 powershell

查看谁更改了用户的密码 powershell

我到处寻找这个简单问题的答案。我经常使用 powershell;但我绝不是专家。我正在寻找一个 powershell 命令/脚本来告诉我哪个域管理员最后更改了用户的密码。

答案1

为了能够知道谁更改了密码,您需要先启用 Active Directory 审核。只有在启用 AD 审核后进行的密码更改才会被记录。密码更改记录为 Windows 事件 ID 4723 和 4724。您可以使用 powershell 通过 cmdlet 访问 Windows 事件 628 Get-WinEvent

事件消息如下:

Target Account Name: %1
Target Domain: %2
Target Account ID: %3
Caller User Name: %4
Caller Domain: %5
Caller Logon ID: %6

要使用 powershell 获取事件,您可以像这样对其进行过滤:

Get-WinEvent -LogName Security -FilterHashtable @{id=628}

要启用 Active Directory 审核:https://technet.microsoft.com/en-us/library/cc731607(v=ws.10).aspx

有关该 cmdlet 的更多信息Get-WinEventhttps://technet.microsoft.com/en-us/library/hh849682.aspx

相关内容