windows-server-2008 – 如何检查谁重置Windows服务器上活动目录

请注意,如果启用“高级审核”,则不得使用旧版审核.

以下是一些感兴趣的事件：

4723：尝试更改帐户的密码
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4723

用户试图更改他/她自己的密码.主题和目标应始终匹配.不要将此事件与4724混淆.

如果新密码无法满足密码策略,则会将此事件记录为失败.

如果用户未能正确输入其旧密码,则不会记录此事件.相反,对于域帐户,使用kadmin / changepw作为服务名称记录4771.

本地SAM帐户和域帐户都会记录此事件.

您还会看到事件ID 4738,通知您相同的信息.

4738：用户帐户已更改
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4738

主题标识的用户：更改了目标帐户标识的用户：

属性显示帐户更改时设置的一些属性.

本地SAM帐户和域帐户都会记录此事件.

根据更改的内容,您可能会看到特定于某些操作(如密码重置)的其他用户帐户管理事件.

4724：尝试重置帐户密码
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4724

主体试图重置目标的密码：

不要将此事件与4723混淆.

如果新密码无法满足密码策略,则会将此事件记录为失败.

本地SAM帐户和域帐户都会记录此事件.

您还将看到一个或多个事件ID 4738,通知您相同的信息.