Powershell – Hvem har ændret brugeradgangskoden i Active Directory

Vil du gerne lære at filtrere Windows-hændelseslogfiler ved hjælp af Powershell for at finde ud af, hvem der ændrede brugerens adgangskode på domænet? I denne vejledning skal vi vise dig, hvordan du finder ud af, hvem der ændrede adgangskoden til en konto i Active Directory.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Liste over udstyr

Her kan du finde listen over udstyr, der bruges til at oprette denne tutorial.

Liste over udstyr

Dette link viser også den softwareliste, der bruges til at oprette dette selvstudium.

Relateret tutorial – PowerShell

På denne side tilbyder vi hurtig adgang til en liste over tutorials relateret til PowerShell.

Selvstudium Powershell – Hvem har ændret brugeradgangskoden i Active Directory

Start en forhøjet Powershell-kommandolinje på domænecontrolleren.

Angiv hændelser relateret til ændring af en brugeradgangskode.

Copy to Clipboard

Her er kommandoen output.

Copy to Clipboard

Vis indholdet af begivenheder relateret til ændring af brugeradgangskoder.

Copy to Clipboard

Her er kommandoen output.

Copy to Clipboard

Message              : An attempt was made to reset an account's password.

Subject:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-500
                        Account Name:           Administrator
                        Account Domain:         TECH
                        Logon ID:               0x17A3FB

Target Account:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-1108
                        Account Name:           yamcha
                        Account Domain:         TECH
Id                   : 4724
Version              : 0
Qualifiers           :
Level                : 0
Task                 : 13824
Opcode               : 0
Keywords             : -9214364837600034816
RecordId             : 194374
ProviderName         : Microsoft-Windows-Security-Auditing
ProviderId           : 54849625-5478-4994-a5ba-3e3b0328c30d
LogName              : Security
ProcessId            : 832
ThreadId             : 3356
MachineName          : TECH-DC01.TECH.LOCAL
UserId               :
TimeCreated          : 8/11/2022 2:34:57 AM
ActivityId           :
RelatedActivityId    :
ContainerLog         : Security
MatchedQueryIds      : {}
Bookmark             : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName     : Information
OpcodeDisplayName    : Info
TaskDisplayName      : User Account Management
KeywordsDisplayNames : {Audit Success}
Properties           : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty...}

Vis kun indholdet af hændelsesmeddelelsen.

Copy to Clipboard

Her er kommandoen output.

Copy to Clipboard

Find ud af, hvem der har ændret adgangskoden til brugere inden for de seneste 30 dage.

Copy to Clipboard

Søg efter hændelser relateret til ændring af brugeradgangskoder i et bestemt tidsinterval.

Copy to Clipboard

Angiv hændelser relateret til adgangskodeændringen af en bestemt brugerkonto.

Copy to Clipboard

I vores eksempel filtrerede vi ud fra hændelsesmeddelelsens indhold.

Dette Powershell-script filtrerer, hvem der ændrede brugeradgangskoden.

Copy to Clipboard

Her er kommandoen output.

Copy to Clipboard

Når en bruger ændrer sin egen adgangskode, er det korrekte hændelses-id 4723.

Tillykke! Du kan finde ud af, hvem der har ændret en brugeradgangskode i Active Directory ved hjælp af Powershell.

Powershell – Hvem har ændret brugeradgangskoden i Active Directory