我已经全面search了这个简单问题的答案。 我经常使用powershell; 绝不是我的专家。 我正在寻找一个PowerShell命令/脚本告诉我哪个域pipe理员最后更改了用户的密码。
为了能够分辨谁更改了密码,首先需要启用Active Directory审核。 只有启用AD审核后才会更改密码。 密码更改logging为Windows事件ID 4723和4724.您可以使用cmdlet Get-WinEvent使用powershell访问Windows事件628。
事件消息是这样的:
Target Account Name: %1 Target Domain: %2 Target Account ID: %3 Caller User Name: %4 Caller Domain: %5 Caller Logon ID: %6
要使用PowerShell来获取事件,可以像这样过滤它:
Get-WinEvent -LogName Security -FilterHashtable @{id=628}
启用Active Directory审核: https : //technet.microsoft.com/en-us/library/cc731607(v= ws.10) .aspx
有关cmdlet Get-WinEvent更多信息,请访问: https : Get-WinEvent