Powershell: quién cambió la contraseña de usuario en Active Directory

¿Desea aprender a filtrar los registros de eventos de Windows con Powershell para encontrar quién cambió la contraseña del usuario en el dominio? En este tutorial, le mostraremos cómo encontrar quién cambió la contraseña de una cuenta en Active Directory.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 2022
• Windows 10
• Windows 11

Lista de equipos

Aquí puede encontrar la lista de equipos utilizados para crear este tutorial.

Lista de equipos

Este enlace también mostrará la lista de software utilizada para crear este tutorial.

Tutorial relacionado - PowerShell

En esta página, ofrecemos acceso rápido a una lista de tutoriales relacionados con PowerShell.

Tutorial Powershell - Quién cambió la contraseña de usuario en Active Directory

En el controlador de dominio, inicie una línea de comandos de Powershell con privilegios elevados.

Enumere los eventos relacionados con el cambio de una contraseña de usuario.

Copy to Clipboard

Aquí está la salida del comando.

Copy to Clipboard

Mostrar el contenido de los eventos relacionados con el cambio de contraseñas de usuario.

Copy to Clipboard

Aquí está la salida del comando.

Copy to Clipboard

Message              : An attempt was made to reset an account's password.

Subject:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-500
                        Account Name:           Administrator
                        Account Domain:         TECH
                        Logon ID:               0x17A3FB

Target Account:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-1108
                        Account Name:           yamcha
                        Account Domain:         TECH
Id                   : 4724
Version              : 0
Qualifiers           :
Level                : 0
Task                 : 13824
Opcode               : 0
Keywords             : -9214364837600034816
RecordId             : 194374
ProviderName         : Microsoft-Windows-Security-Auditing
ProviderId           : 54849625-5478-4994-a5ba-3e3b0328c30d
LogName              : Security
ProcessId            : 832
ThreadId             : 3356
MachineName          : TECH-DC01.TECH.LOCAL
UserId               :
TimeCreated          : 8/11/2022 2:34:57 AM
ActivityId           :
RelatedActivityId    :
ContainerLog         : Security
MatchedQueryIds      : {}
Bookmark             : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName     : Information
OpcodeDisplayName    : Info
TaskDisplayName      : User Account Management
KeywordsDisplayNames : {Audit Success}
Properties           : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty...}

Mostrar sólo el contenido del mensaje de evento.

Copy to Clipboard

Aquí está la salida del comando.

Copy to Clipboard

Encuentra quién ha cambiado la contraseña de los usuarios en los últimos 30 días.

Copy to Clipboard

Busque eventos relacionados con el cambio de contraseñas de usuario en un intervalo de tiempo específico.

Copy to Clipboard

Enumere los eventos relacionados con el cambio de contraseña de una cuenta de usuario específica.

Copy to Clipboard

En nuestro ejemplo, filtramos en función del contenido del mensaje del evento.

Este script de Powershell filtra quién cambió la contraseña de usuario.

Copy to Clipboard

Aquí está la salida del comando.

Copy to Clipboard

Cuando un usuario cambia su propia contraseña, el identificador de evento correcto es 4723.

¡Felicitaciones! Puede encontrar quién cambió una contraseña de usuario en Active Directory mediante Powershell.

Powershell: quién cambió la contraseña de usuario en Active Directory