Powershell - Kuka vaihtoi käyttäjän salasanan Active Directoryssa

Haluatko oppia suodattamaan Windowsin tapahtumalokit Powershellin avulla, jotta voit selvittää, kuka on vaihtanut käyttäjän salasanan toimialueella? Tässä opetusohjelmassa näytämme sinulle, kuinka voit selvittää, kuka muutti tilin salasanan Active Directoryssa.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Laiteluettelo

Täältä löydät luettelon laitteista, joita käytetään tämän opetusohjelman luomiseen.

Laiteluettelo

Tämä linkki näyttää myös tämän opetusohjelman luomiseen käytetyn ohjelmistoluettelon.

Aiheeseen liittyvä opetusohjelma – PowerShell

Tällä sivulla tarjoamme nopean pääsyn luetteloon PowerShelliin liittyvistä opetusohjelmista.

Tutorial Powershell – Kuka vaihtoi käyttäjän salasanan Active Directoryssa

Käynnistä toimialueen ohjauskoneessa korotettu Powershell-komentorivi.

Luettele käyttäjän salasanan vaihtoon liittyvät tapahtumat.

Copy to Clipboard

Tässä on komentotulostin.

Copy to Clipboard

Näytä käyttäjien salasanojen vaihtoon liittyvien tapahtumien sisältö.

Copy to Clipboard

Tässä on komentotulostin.

Copy to Clipboard

Message              : An attempt was made to reset an account's password.

Subject:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-500
                        Account Name:           Administrator
                        Account Domain:         TECH
                        Logon ID:               0x17A3FB

Target Account:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-1108
                        Account Name:           yamcha
                        Account Domain:         TECH
Id                   : 4724
Version              : 0
Qualifiers           :
Level                : 0
Task                 : 13824
Opcode               : 0
Keywords             : -9214364837600034816
RecordId             : 194374
ProviderName         : Microsoft-Windows-Security-Auditing
ProviderId           : 54849625-5478-4994-a5ba-3e3b0328c30d
LogName              : Security
ProcessId            : 832
ThreadId             : 3356
MachineName          : TECH-DC01.TECH.LOCAL
UserId               :
TimeCreated          : 8/11/2022 2:34:57 AM
ActivityId           :
RelatedActivityId    :
ContainerLog         : Security
MatchedQueryIds      : {}
Bookmark             : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName     : Information
OpcodeDisplayName    : Info
TaskDisplayName      : User Account Management
KeywordsDisplayNames : {Audit Success}
Properties           : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty...}

Näytä vain tapahtumaviestin sisältö.

Copy to Clipboard

Tässä on komentotulostin.

Copy to Clipboard

Etsi, kuka on vaihtanut käyttäjien salasanan viimeisen 30 päivän aikana.

Copy to Clipboard

Etsi tapahtumia, jotka liittyvät käyttäjän salasanojen vaihtamiseen tietyllä aikavälillä.

Copy to Clipboard

Luettele tietyn käyttäjätilin salasanan vaihtoon liittyvät tapahtumat.

Copy to Clipboard

Esimerkissämme suodatimme tapahtumaviestin sisällön perusteella.

Tämä Powershell-komentosarja suodattaa, kuka on vaihtanut käyttäjän salasanan.

Copy to Clipboard

Tässä on komentotulostin.

Copy to Clipboard

Kun käyttäjä vaihtaa oman salasanansa, oikea tapahtumatunnus on 4723.

Onnittelen! Powershellin avulla voit selvittää, kuka on vaihtanut käyttäjän salasanan Active Directoryssa.

Powershell – Kuka vaihtoi käyttäjän salasanan Active Directoryssa