Powershell - מי שינה את סיסמת המשתמש ב-Active Directory

האם ברצונך ללמוד כיצד לסנן יומני אירועים של Windows באמצעות Powershell כדי לגלות מי שינה את סיסמת המשתמש בתחום? במדריך זה, אנו הולכים להראות לך כיצד למצוא מי שינה את הסיסמה של חשבון ב- Active Directory.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

רשימת ציוד

כאן תוכל למצוא את רשימת הציוד המשמש ליצירת ערכת לימוד זו.

רשימת ציוד

קישור זה גם יראה את רשימת התוכנה המשמשת ליצירת ערכת לימוד זו.

ערכת לימוד קשורה – PowerShell

בדף זה, אנו מציעים גישה מהירה לרשימת ערכות לימוד הקשורות ל- PowerShell.

מדריך Powershell – מי שינה את סיסמת המשתמש ב- Active Directory

בבקר התחום, הפעל שורת פקודה מוגבהת של Powershell.

רשום אירועים הקשורים לשינוי סיסמת משתמש.

Copy to Clipboard

הנה פלט הפקודה.

Copy to Clipboard

הצג את התוכן של אירועים הקשורים לשינוי סיסמאות משתמשים.

Copy to Clipboard

הנה פלט הפקודה.

Copy to Clipboard

Message              : An attempt was made to reset an account's password.

Subject:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-500
                        Account Name:           Administrator
                        Account Domain:         TECH
                        Logon ID:               0x17A3FB

Target Account:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-1108
                        Account Name:           yamcha
                        Account Domain:         TECH
Id                   : 4724
Version              : 0
Qualifiers           :
Level                : 0
Task                 : 13824
Opcode               : 0
Keywords             : -9214364837600034816
RecordId             : 194374
ProviderName         : Microsoft-Windows-Security-Auditing
ProviderId           : 54849625-5478-4994-a5ba-3e3b0328c30d
LogName              : Security
ProcessId            : 832
ThreadId             : 3356
MachineName          : TECH-DC01.TECH.LOCAL
UserId               :
TimeCreated          : 8/11/2022 2:34:57 AM
ActivityId           :
RelatedActivityId    :
ContainerLog         : Security
MatchedQueryIds      : {}
Bookmark             : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName     : Information
OpcodeDisplayName    : Info
TaskDisplayName      : User Account Management
KeywordsDisplayNames : {Audit Success}
Properties           : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty...}

הצג רק את התוכן של הודעת האירוע.

Copy to Clipboard

הנה פלט הפקודה.

Copy to Clipboard

מצא מי שינה את הסיסמה של המשתמשים ב-30 הימים האחרונים.

Copy to Clipboard

חפש אירועים הקשורים לשינוי סיסמאות משתמש במרווח זמן מסוים.

Copy to Clipboard

רשום אירועים הקשורים לשינוי הסיסמה של חשבון משתמש ספציפי.

Copy to Clipboard

בדוגמה שלנו, סיננו על סמך תוכן הודעת האירוע.

סקריפט Powershell זה מסנן ששינה את סיסמת המשתמש.

Copy to Clipboard

הנה פלט הפקודה.

Copy to Clipboard

כאשר משתמש משנה את הסיסמה שלו, מזהה האירוע הנכון הוא 4723.

מזל טוב! באפשרותך למצוא מי שינה סיסמת משתמש ב- Active Directory באמצעות Powershell.

Powershell – מי שינה את סיסמת המשתמש ב-Active Directory