Powershell - Wie heeft het gebruikerswachtwoord in Active Directory gewijzigd

Wilt u leren hoe u Windows-gebeurtenislogboeken kunt filteren met Powershell om te achterhalen wie het wachtwoord van de gebruiker in het domein heeft gewijzigd? In deze zelfstudie laten we u zien hoe u kunt vinden wie het wachtwoord van een account in de Active Directory heeft gewijzigd.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 2022
• Windows 10
• Windows 11

Uitrustingslijst

Hier vindt u de lijst met apparatuur die wordt gebruikt om deze zelfstudie te maken.

Uitrustingslijst

Deze link toont ook de softwarelijst die wordt gebruikt om deze zelfstudie te maken.

Gerelateerde zelfstudie - PowerShell

Op deze pagina bieden we snelle toegang tot een lijst met tutorials met betrekking tot PowerShell.

Zelfstudie Powershell - Wie heeft het gebruikerswachtwoord in Active Directory gewijzigd

Start op de domeincontroller een Powershell-opdrachtregel met verhoogde bevoegdheid.

Maak een lijst van gebeurtenissen met betrekking tot het wijzigen van een gebruikerswachtwoord.

Copy to Clipboard

Hier is de opdrachtuitvoer.

Copy to Clipboard

Geef de inhoud weer van gebeurtenissen die betrekking hebben op het wijzigen van gebruikerswachtwoorden.

Copy to Clipboard

Hier is de opdrachtuitvoer.

Copy to Clipboard

Message              : An attempt was made to reset an account's password.

Subject:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-500
                        Account Name:           Administrator
                        Account Domain:         TECH
                        Logon ID:               0x17A3FB

Target Account:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-1108
                        Account Name:           yamcha
                        Account Domain:         TECH
Id                   : 4724
Version              : 0
Qualifiers           :
Level                : 0
Task                 : 13824
Opcode               : 0
Keywords             : -9214364837600034816
RecordId             : 194374
ProviderName         : Microsoft-Windows-Security-Auditing
ProviderId           : 54849625-5478-4994-a5ba-3e3b0328c30d
LogName              : Security
ProcessId            : 832
ThreadId             : 3356
MachineName          : TECH-DC01.TECH.LOCAL
UserId               :
TimeCreated          : 8/11/2022 2:34:57 AM
ActivityId           :
RelatedActivityId    :
ContainerLog         : Security
MatchedQueryIds      : {}
Bookmark             : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName     : Information
OpcodeDisplayName    : Info
TaskDisplayName      : User Account Management
KeywordsDisplayNames : {Audit Success}
Properties           : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty...}

Geef alleen de inhoud van het gebeurtenisbericht weer.

Copy to Clipboard

Hier is de opdrachtuitvoer.

Copy to Clipboard

Zoek wie het wachtwoord van gebruikers in de afgelopen 30 dagen heeft gewijzigd.

Copy to Clipboard

Zoek naar gebeurtenissen met betrekking tot het wijzigen van gebruikerswachtwoorden in een specifiek tijdsinterval.

Copy to Clipboard

Geef gebeurtenissen weer die betrekking hebben op het wijzigen van het wachtwoord van een specifieke gebruikersaccount.

Copy to Clipboard

In ons voorbeeld hebben we gefilterd op basis van de inhoud van het gebeurtenisbericht.

Dit Powershell-script filtert wie het gebruikerswachtwoord heeft gewijzigd.

Copy to Clipboard

Hier is de opdrachtuitvoer.

Copy to Clipboard

Wanneer een gebruiker zijn eigen wachtwoord wijzigt, is de juiste gebeurtenis-id 4723.

Gefeliciteerd! U kunt met Powershell vinden wie een gebruikerswachtwoord heeft gewijzigd in de Active Directory.

Powershell - Wie heeft het gebruikerswachtwoord in Active Directory gewijzigd