我有关于上次修改用户帐户的详细信息(密码重置已完成)。 但我会有兴趣知道谁重置此用户的密码。 有没有什么办法可以在Windows 2012的活动目录服务器上find这个。
在帐户pipe理:审核用户帐户pipe理的域控制器上启用高级审核
请注意,如果启用高级审核,则不能使用旧审核。
以下是一些有趣的事件:
4723:试图更改帐户的密码
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4723
用户试图改变他/她自己的密码。 主题和目标应始终匹配。 不要把这个事件与4724混淆。
如果新密码未能符合密码策略,则该事件将被logging为失败。
如果用户未能正确input旧密码,则不会logging此事件。 相反,对于域帐户,使用kadmin / changepw作为服务名称logging4771。
本地SAM帐户和域帐户都会logging此事件。
您还将看到事件ID 4738通知您相同的信息。
4738:用户帐户已更改
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4738
由主题标识的用户:更改了由目标帐户标识的用户:。
属性显示了帐户更改时设置的一些属性。
本地SAM帐户和域帐户都会logging此事件。
根据更改的内容,您可能会看到特定于某些操作(如密码重置)的其他用户帐户pipe理事件。
4724:试图重置帐户密码
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4724
对象试图重置目标的密码:
不要把这个事件与4723混淆。
如果新密码不符合密码策略,则该事件将被logging为失败。
本地SAM帐户和域帐户都会logging此事件。
您还将看到一个或多个事件ID 4738s,通知您相同的信息。
您可以启用审核目录服务更改。 如果密码重置显示在那里,我不确定地知道。 他们肯定会被改变,但是审计可能只能捕获属性的“正常”修改,这意味着审计可能认为这个变更是在DC的权力下进行的,而不是在特定的用户或pipe理用户。
在这方面,密码修改可能是一个特殊的情况。 物有所值…
https://technet.microsoft.com/en-us/library/cc731607(v=ws.10).aspx http://blogs.technet.com/b/askpfeplat/archive/2012/04/22/who-移动最广告cheese.aspx
如果不启用审计,我的猜测是,即使您深入了解目录,您也只能获取有关已完成的操作和域控制器的信息,而不知道哪些用户的安全上下文负责更改。