Powershell - सक्रिय निर्देशिका में उपयोगकर्ता पासवर्ड किसने परिवर्तित किया

क्या आप यह सीखना चाहेंगे कि डोमेन पर उपयोगकर्ता का पासवर्ड किसने बदला है, यह पता लगाने के लिए पावरशेल का उपयोग करके विंडोज इवेंट लॉग को कैसे फ़िल्टर किया जाए? इस ट्यूटोरियल में, हम आपको यह दिखाने जा रहे हैं कि सक्रिय निर्देशिका पर किसी खाते का पासवर्ड किसने बदला है, यह कैसे पता लगाया जाए।

• Windows 2012 R2
• Windows 2016
• Windows 2019
• विंडोज 2022
• Windows 10
• विंडोज 11

उपकरण सूची

यहां आप इस ट्यूटोरियल बनाने के लिए इस्तेमाल उपकरणों की सूची पा सकते हैं।

उपकरण सूची

इस लिंक में इस ट्यूटोरियल को बनाने के लिए इस्तेमाल की जाने वाली सॉफ्टवेयर लिस्ट भी दिखाई देगी।

ट्यूटोरियल Powershell - जो सक्रिय निर्देशिका में उपयोगकर्ता पासवर्ड बदल गया

डोमेन नियंत्रक पर, एक उन्नत Powershell आदेश पंक्ति प्रारंभ करें।

उपयोगकर्ता पासवर्ड के परिवर्तन से संबंधित ईवेंट सूचीबद्ध करें.

Copy to Clipboard

यहां कमांड आउटपुट है।

Copy to Clipboard

उपयोगकर्ता पासवर्ड के परिवर्तन से संबंधित ईवेंट की सामग्री प्रदर्शित करें.

Copy to Clipboard

यहां कमांड आउटपुट है।

Copy to Clipboard

Message              : An attempt was made to reset an account's password.

Subject:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-500
                        Account Name:           Administrator
                        Account Domain:         TECH
                        Logon ID:               0x17A3FB

Target Account:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-1108
                        Account Name:           yamcha
                        Account Domain:         TECH
Id                   : 4724
Version              : 0
Qualifiers           :
Level                : 0
Task                 : 13824
Opcode               : 0
Keywords             : -9214364837600034816
RecordId             : 194374
ProviderName         : Microsoft-Windows-Security-Auditing
ProviderId           : 54849625-5478-4994-a5ba-3e3b0328c30d
LogName              : Security
ProcessId            : 832
ThreadId             : 3356
MachineName          : TECH-DC01.TECH.LOCAL
UserId               :
TimeCreated          : 8/11/2022 2:34:57 AM
ActivityId           :
RelatedActivityId    :
ContainerLog         : Security
MatchedQueryIds      : {}
Bookmark             : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName     : Information
OpcodeDisplayName    : Info
TaskDisplayName      : User Account Management
KeywordsDisplayNames : {Audit Success}
Properties           : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty...}

केवल ईवेंट संदेश की सामग्री प्रदर्शित करें.

Copy to Clipboard

यहां कमांड आउटपुट है।

Copy to Clipboard

पता लगाएं कि पिछले 30 दिनों में उपयोगकर्ताओं का पासवर्ड किसने बदला है।

Copy to Clipboard

एक विशिष्ट समय अंतराल में उपयोगकर्ता पासवर्ड के परिवर्तन से संबंधित ईवेंट्स के लिए खोजें।

Copy to Clipboard

किसी विशिष्ट उपयोगकर्ता खाते के पासवर्ड परिवर्तन से संबंधित ईवेंट सूचीबद्ध करें.

Copy to Clipboard

हमारे उदाहरण में, हमने ईवेंट संदेश सामग्री के आधार पर फ़िल्टर किया।

यह Powershell स्क्रिप्ट फ़िल्टर करता है जो उपयोगकर्ता पासवर्ड परिवर्तित करता है।

Copy to Clipboard

यहां कमांड आउटपुट है।

Copy to Clipboard

जब कोई उपयोगकर्ता अपना स्वयं का पासवर्ड बदलता है, तो सही इवेंट आईडी 4723 है।

बधाइयाँ! आप Powershell का उपयोग कर सक्रिय निर्देशिका में कोई उपयोगकर्ता पासवर्ड परिवर्तित किया है जो ढूँढने में सक्षम हैं।

Powershell - सक्रिय निर्देशिका में उपयोगकर्ता पासवर्ड किसने परिवर्तित किया