Powershell - Chi ha modificato la password utente in Active Directory

Vuoi imparare a filtrare i registri eventi di Windows usando Powershell per trovare chi ha modificato la password dell’utente nel dominio? In questo tutorial, ti mostreremo come trovare chi ha cambiato la password di un account su Active Directory.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Finestre 2022
• Windows 10
• Windows 11

Elenco attrezzature

Qui puoi trovare l’elenco delle attrezzature utilizzate per creare questa esercitazione.

Elenco attrezzature

Questo link mostrerà anche l’elenco software utilizzato per creare questa esercitazione.

Esercitazione correlata – PowerShell

In questa pagina viene offerto un accesso rapido a un elenco di esercitazioni relative a PowerShell.

Esercitazione Powershell – Chi ha modificato la password utente in Active Directory

Nel controller di dominio avviare una riga di comando Powershell con privilegi elevati.

Elencare gli eventi correlati alla modifica di una password utente.

Copy to Clipboard

Ecco l’output del comando.

Copy to Clipboard

Visualizzare il contenuto degli eventi relativi alla modifica delle password utente.

Copy to Clipboard

Ecco l’output del comando.

Copy to Clipboard

Message              : An attempt was made to reset an account's password.

Subject:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-500
                        Account Name:           Administrator
                        Account Domain:         TECH
                        Logon ID:               0x17A3FB

Target Account:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-1108
                        Account Name:           yamcha
                        Account Domain:         TECH
Id                   : 4724
Version              : 0
Qualifiers           :
Level                : 0
Task                 : 13824
Opcode               : 0
Keywords             : -9214364837600034816
RecordId             : 194374
ProviderName         : Microsoft-Windows-Security-Auditing
ProviderId           : 54849625-5478-4994-a5ba-3e3b0328c30d
LogName              : Security
ProcessId            : 832
ThreadId             : 3356
MachineName          : TECH-DC01.TECH.LOCAL
UserId               :
TimeCreated          : 8/11/2022 2:34:57 AM
ActivityId           :
RelatedActivityId    :
ContainerLog         : Security
MatchedQueryIds      : {}
Bookmark             : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName     : Information
OpcodeDisplayName    : Info
TaskDisplayName      : User Account Management
KeywordsDisplayNames : {Audit Success}
Properties           : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty...}

Visualizzare solo il contenuto del messaggio di evento.

Copy to Clipboard

Ecco l’output del comando.

Copy to Clipboard

Scopri chi ha modificato la password degli utenti negli ultimi 30 giorni.

Copy to Clipboard

Cerca eventi relativi alla modifica delle password utente in un intervallo di tempo specifico.

Copy to Clipboard

Elencare gli eventi correlati alla modifica della password di un account utente specifico.

Copy to Clipboard

Nel nostro esempio, abbiamo filtrato in base al contenuto del messaggio di evento.

Questo script di Powershell filtra chi ha modificato la password utente.

Copy to Clipboard

Ecco l’output del comando.

Copy to Clipboard

Quando un utente modifica la propria password, l’ID evento corretto è 4723.

Congratulazioni! È possibile trovare chi ha modificato una password utente in Active Directory utilizzando Powershell.

Powershell – Chi ha modificato la password utente in Active Directory