Powershell - Qui a modifié le mot de passe utilisateur dans Active Directory

Souhaitez-vous apprendre à filtrer les journaux d’événements Windows à l’aide de Powershell pour trouver qui a modifié le mot de passe de l’utilisateur sur le domaine ? Dans ce tutoriel, nous allons vous montrer comment trouver qui a changé le mot de passe d’un compte sur Active Directory.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Liste des équipements

Ici, vous pouvez trouver la liste des équipements utilisés pour créer ce tutoriel.

Liste des équipements

Ce lien affichera également la liste logicielle utilisée pour créer ce tutoriel.

Tutoriel connexe – PowerShell

Sur cette page, nous offrons un accès rapide à une liste de tutoriels liés à PowerShell.

Didacticiel Powershell – Qui a modifié le mot de passe utilisateur dans Active Directory

Sur le contrôleur de domaine, démarrez une ligne de commande Powershell avec élévation de privilèges.

Répertorier les événements liés à la modification d’un mot de passe utilisateur.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Afficher le contenu des événements liés à la modification des mots de passe utilisateur.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Message              : An attempt was made to reset an account's password.

Subject:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-500
                        Account Name:           Administrator
                        Account Domain:         TECH
                        Logon ID:               0x17A3FB

Target Account:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-1108
                        Account Name:           yamcha
                        Account Domain:         TECH
Id                   : 4724
Version              : 0
Qualifiers           :
Level                : 0
Task                 : 13824
Opcode               : 0
Keywords             : -9214364837600034816
RecordId             : 194374
ProviderName         : Microsoft-Windows-Security-Auditing
ProviderId           : 54849625-5478-4994-a5ba-3e3b0328c30d
LogName              : Security
ProcessId            : 832
ThreadId             : 3356
MachineName          : TECH-DC01.TECH.LOCAL
UserId               :
TimeCreated          : 8/11/2022 2:34:57 AM
ActivityId           :
RelatedActivityId    :
ContainerLog         : Security
MatchedQueryIds      : {}
Bookmark             : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName     : Information
OpcodeDisplayName    : Info
TaskDisplayName      : User Account Management
KeywordsDisplayNames : {Audit Success}
Properties           : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty...}

Affichez uniquement le contenu du message d’événement.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Trouvez qui a modifié le mot de passe des utilisateurs au cours des 30 derniers jours.

Copy to Clipboard

Recherchez les événements liés à la modification des mots de passe utilisateur dans un intervalle de temps spécifique.

Copy to Clipboard

Répertorier les événements liés au changement de mot de passe d’un compte d’utilisateur spécifique.

Copy to Clipboard

Dans notre exemple, nous avons filtré en fonction du contenu du message d’événement.

Ce script Powershell filtre qui a modifié le mot de passe utilisateur.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Lorsqu’un utilisateur modifie son propre mot de passe, l’ID d’événement correct est 4723.

félicitations! Vous pouvez trouver qui a modifié un mot de passe utilisateur dans Active Directory à l’aide de Powershell.

Powershell – Qui a modifié le mot de passe utilisateur dans Active Directory