WindowsサーバーのActive Directoryで特定のユーザーのパスワードをリセットしたユーザーを確認するにはどうすればよいですか?
最後に変更されたとき(パスワードのリセットが行われたとき)のユーザーアカウントの詳細があります。しかし、このユーザーのパスワードを誰がリセットしたか知りたいです。 Windows 2012 Active Directoryサーバーでこれを見つける方法はありますか?.
アカウント管理のためにドメインコントローラーで高度な監査を有効にする:ユーザーアカウント管理の監査
高度な監査を有効にする場合は、レガシー監査を使用しないでください。
興味のあるイベントの一部を以下に示します。
4723:アカウントのパスワードを変更しようとしました
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=472
ユーザーが自分のパスワードを変更しようとしました。サブジェクトとターゲットは常に一致している必要があります。このイベントを4724と混同しないでください。
このイベントは、彼の新しいパスワードがパスワードポリシーに適合しない場合、失敗としてログに記録されます。
ユーザーが古いパスワードを正しく入力しなかった場合、このイベントは記録されません。代わりに、ドメインアカウントの場合、サービス名としてkadmin/changepwを使用して4771がログに記録されます。
このイベントは、ローカルのSAMアカウントとドメインアカウントの両方でログに記録されます。
また、同じ情報を通知するイベントID 4738も表示されます。
4738:ユーザーアカウントが変更されました
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4738
件名:で識別されるユーザーがターゲットアカウント:で識別されるユーザーを変更しました。
属性には、アカウントの変更時に設定されたいくつかのプロパティが表示されます。
このイベントは、ローカルのSAMアカウントとドメインアカウントの両方でログに記録されます。
変更内容によっては、パスワードのリセットなどの特定の操作に固有のその他のユーザーアカウント管理イベントが表示される場合があります。
4724:アカウントパスワードをリセットしようとしました
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4724
サブジェクトはターゲットのパスワードをリセットしようとしました:
このイベントを4723と混同しないでください。
このイベントは、新しいパスワードがパスワードポリシーに適合しない場合に失敗としてログに記録されます。
このイベントは、ローカルのSAMアカウントとドメインアカウントの両方でログに記録されます。
また、同じ情報を通知する1つ以上のイベントID 4738が表示されます。
ディレクトリサービスの変更の監査を有効にできます。パスワードのリセットがそこに表示されるかどうかは、はっきりとはわかりません。それらは確かに変更されますが、監査では属性の「通常の」変更のみをキャプチャできます。つまり、監査には、特定のユーザーやコンテキストではなく、DCの権限の下で変更が実行されたという見方がある場合があります。管理ユーザー。
この点で、パスワードの変更は特別な状況になる可能性があります。何のために...
https://technet.Microsoft.com/en-us/library/cc731607(v = ws.10).aspxhttp://blogs.technet.com/b/askpfeplat /archive/2012/04/22/who-moved-the-ad-cheese.aspx
監査を有効にしないと、ディレクトリを調べても、何が行われ、どのドメインコントローラで行われたかに関する情報しか得られず、変更の原因となったユーザーのセキュリティコンテキストは得られないと思います。