Powershell - Active Directory でユーザーパスワードを変更したユーザー

Powershell を使用して Windows イベントログをフィルター処理し、ドメインでユーザーのパスワードを変更したユーザーを見つける方法を学習しますか? このチュートリアルでは、Active Directoryのアカウントのパスワードを変更したユーザーを見つける方法を紹介します。

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

機器リスト

ここでは、このチュートリアルを作成するために使用される機器のリストを見つけることができます。

機器リスト

このリンクには、このチュートリアルの作成に使用するソフトウェアの一覧も表示されます。

チュートリアル Powershell – Active Directory でユーザーパスワードを変更したユーザー

ドメインコントローラーで、管理者特権の Powershell コマンドラインを開始します。

ユーザー・パスワードの変更に関連するイベントをリストします。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

ユーザー・パスワードの変更に関連するイベントの内容を表示します。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

Message              : An attempt was made to reset an account's password.

Subject:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-500
                        Account Name:           Administrator
                        Account Domain:         TECH
                        Logon ID:               0x17A3FB

Target Account:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-1108
                        Account Name:           yamcha
                        Account Domain:         TECH
Id                   : 4724
Version              : 0
Qualifiers           :
Level                : 0
Task                 : 13824
Opcode               : 0
Keywords             : -9214364837600034816
RecordId             : 194374
ProviderName         : Microsoft-Windows-Security-Auditing
ProviderId           : 54849625-5478-4994-a5ba-3e3b0328c30d
LogName              : Security
ProcessId            : 832
ThreadId             : 3356
MachineName          : TECH-DC01.TECH.LOCAL
UserId               :
TimeCreated          : 8/11/2022 2:34:57 AM
ActivityId           :
RelatedActivityId    :
ContainerLog         : Security
MatchedQueryIds      : {}
Bookmark             : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName     : Information
OpcodeDisplayName    : Info
TaskDisplayName      : User Account Management
KeywordsDisplayNames : {Audit Success}
Properties           : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty...}

イベント・メッセージの内容のみを表示します。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

過去 30 日間にユーザーのパスワードを変更したユーザーを検索します。

Copy to Clipboard

特定の時間間隔でのユーザー・パスワードの変更に関連するイベントを検索します。

Copy to Clipboard

特定のユーザー・アカウントのパスワード変更に関連するイベントをリストします。

Copy to Clipboard

この例では、イベントメッセージの内容に基づいてフィルター処理しました。

この Powershell スクリプトは、ユーザーパスワードを変更したユーザーをフィルター処理します。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

ユーザーが自分のパスワードを変更すると、正しいイベント ID は 4723 になります。

おめでとう！ Powershell を使用して、Active Directory でユーザーパスワードを変更したユーザーを見つけることができます。

Powershell – Active Directory でユーザー パスワードを変更したユーザー