Powershell - Wer hat das Benutzerkennwort in Active Directory geändert?

Möchten Sie erfahren, wie Sie Windows-Ereignisprotokolle mit Powershell filtern, um herauszufinden, wer das Kennwort des Benutzers in der Domäne geändert hat? In diesem Lernprogramm zeigen wir Ihnen, wie Sie herausfinden können, wer das Kennwort eines Kontos im Active Directory geändert hat.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Geräteliste

Hier finden Sie die Liste der Geräte, die zum Erstellen dieses Tutorials verwendet wurden.

Geräteliste

Dieser Link zeigt auch die Softwareliste, die zum Erstellen dieses Tutorials verwendet wurde.

Zugehöriges Tutorial – PowerShell

Auf dieser Seite bieten wir schnellen Zugriff auf eine Liste von Tutorials im Zusammenhang mit PowerShell.

Lernprogramm Powershell – Wer hat das Benutzerkennwort in Active Directory geändert?

Starten Sie auf dem Domänencontroller eine PowerShell-Befehlszeile mit erhöhten Rechten.

Listen Sie Ereignisse auf, die sich auf die Änderung eines Benutzerkennworts beziehen.

Copy to Clipboard

Hier ist die Befehlsausgabe.

Copy to Clipboard

Zeigt den Inhalt von Ereignissen im Zusammenhang mit der Änderung von Benutzerkennwörtern an.

Copy to Clipboard

Hier ist die Befehlsausgabe.

Copy to Clipboard

Message              : An attempt was made to reset an account's password.

Subject:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-500
                        Account Name:           Administrator
                        Account Domain:         TECH
                        Logon ID:               0x17A3FB

Target Account:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-1108
                        Account Name:           yamcha
                        Account Domain:         TECH
Id                   : 4724
Version              : 0
Qualifiers           :
Level                : 0
Task                 : 13824
Opcode               : 0
Keywords             : -9214364837600034816
RecordId             : 194374
ProviderName         : Microsoft-Windows-Security-Auditing
ProviderId           : 54849625-5478-4994-a5ba-3e3b0328c30d
LogName              : Security
ProcessId            : 832
ThreadId             : 3356
MachineName          : TECH-DC01.TECH.LOCAL
UserId               :
TimeCreated          : 8/11/2022 2:34:57 AM
ActivityId           :
RelatedActivityId    :
ContainerLog         : Security
MatchedQueryIds      : {}
Bookmark             : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName     : Information
OpcodeDisplayName    : Info
TaskDisplayName      : User Account Management
KeywordsDisplayNames : {Audit Success}
Properties           : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty...}

Zeigt nur den Inhalt der Ereignismeldung an.

Copy to Clipboard

Hier ist die Befehlsausgabe.

Copy to Clipboard

Finden Sie heraus, wer das Kennwort von Benutzern in den letzten 30 Tagen geändert hat.

Copy to Clipboard

Suchen Sie nach Ereignissen im Zusammenhang mit der Änderung von Benutzerkennwörtern in einem bestimmten Zeitintervall.

Copy to Clipboard

Listen Sie Ereignisse auf, die sich auf die Kennwortänderung eines bestimmten Benutzerkontos beziehen.

Copy to Clipboard

In unserem Beispiel haben wir basierend auf dem Inhalt der Ereignisnachricht gefiltert.

Dieses Powershell-Skript filtert, wer das Benutzerkennwort geändert hat.

Copy to Clipboard

Hier ist die Befehlsausgabe.

Copy to Clipboard

Wenn ein Benutzer sein eigenes Kennwort ändert, lautet die korrekte Ereignis-ID 4723.

Herzlichen glückwunsch! Mit Powershell können Sie herausfinden, wer ein Benutzerkennwort in Active Directory geändert hat.

Powershell – Wer hat das Benutzerkennwort in Active Directory geändert?