NMS*_*NMS 3 windows-server-2008 active-directory windows-server-2008-r2 windows-server-2012
我有上次修改用户帐户时的详细信息(已完成密码重置)。但我很想知道是谁为这个用户重置了密码。有什么办法可以在 Windows 2012 活动目录服务器上找到它。
在域控制器上启用高级审计以进行帐户管理:审计用户帐户管理
请注意,如果启用高级审核,则不得使用旧版审核。
以下是一些有趣的事件:
4723:尝试更改帐户的密码
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4723
用户试图更改他/她自己的密码。主题和目标应始终匹配。不要将此事件与 4724 混淆。
如果他的新密码不符合密码策略,则此事件将被记录为失败。
如果用户未能正确输入其旧密码,则不会记录此事件。相反,对于域帐户,将记录 4771,并将 kadmin/changepw 作为服务名称。
本地 SAM 帐户和域帐户都会记录此事件。
您还将看到事件 ID 4738,通知您相同的信息。
4738:用户帐户已更改
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4738
主题标识的用户:更改了目标帐户标识的用户:。
属性显示在更改帐户时设置的一些属性。
本地 SAM 帐户和域帐户都会记录此事件。
根据更改的内容,您可能会看到特定于某些操作(如密码重置)的其他用户帐户管理事件。
4724:尝试重置帐户密码
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4724
主体试图重置目标的密码:
不要将此事件与 4723 混淆。
如果新密码不符合密码策略,则此事件将被记录为失败。
本地 SAM 帐户和域帐户都会记录此事件。
您还将看到一个或多个事件 ID 4738,通知您相同的信息。
| 归档时间: |
|
| 查看次数: |
53963 次 |
| 最近记录: |