Powershell - Hvem endret brukerpassordet i Active Directory

Vil du lære hvordan du filtrerer Windows-hendelseslogger ved hjelp av Powershell for å finne hvem som endret brukerens passord på domenet? I denne opplæringen skal vi vise deg hvordan du finner hvem som endret passordet til en konto på Active Directory.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Liste over utstyr

Her finner du listen over utstyr som brukes til å lage denne opplæringen.

Liste over utstyr

Denne koblingen vil også vise programvarelisten som brukes til å lage denne opplæringen.

Relatert opplæring – PowerShell

På denne siden tilbyr vi rask tilgang til en liste over tutorials knyttet til PowerShell.

Opplæring Powershell – Hvem endret brukerpassordet i Active Directory

Start en forhøyet Powershell-kommandolinje på domenekontrolleren.

Liste hendelser relatert til endring av et brukerpassord.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Vis innholdet i hendelser knyttet til endring av brukerpassord.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Message              : An attempt was made to reset an account's password.

Subject:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-500
                        Account Name:           Administrator
                        Account Domain:         TECH
                        Logon ID:               0x17A3FB

Target Account:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-1108
                        Account Name:           yamcha
                        Account Domain:         TECH
Id                   : 4724
Version              : 0
Qualifiers           :
Level                : 0
Task                 : 13824
Opcode               : 0
Keywords             : -9214364837600034816
RecordId             : 194374
ProviderName         : Microsoft-Windows-Security-Auditing
ProviderId           : 54849625-5478-4994-a5ba-3e3b0328c30d
LogName              : Security
ProcessId            : 832
ThreadId             : 3356
MachineName          : TECH-DC01.TECH.LOCAL
UserId               :
TimeCreated          : 8/11/2022 2:34:57 AM
ActivityId           :
RelatedActivityId    :
ContainerLog         : Security
MatchedQueryIds      : {}
Bookmark             : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName     : Information
OpcodeDisplayName    : Info
TaskDisplayName      : User Account Management
KeywordsDisplayNames : {Audit Success}
Properties           : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty...}

Vis bare innholdet i hendelsesmeldingen.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Finn hvem som har endret passordet til brukere i løpet av de siste 30 dagene.

Copy to Clipboard

Søk etter hendelser relatert til endring av brukerpassord i et bestemt tidsintervall.

Copy to Clipboard

Liste hendelser relatert til passordendringen for en spesifikk brukerkonto.

Copy to Clipboard

I vårt eksempel filtrerte vi basert på innholdet i hendelsesmeldingen.

Dette Powershell-skriptet filtrerer hvem som endret brukerpassordet.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Når en bruker endrer sitt eget passord, er riktig hendelses-ID 4723.

Gratulerer! Du kan finne hvem som endret et brukerpassord i Active Directory ved å bruke Powershell.

Powershell – Hvem endret brukerpassordet i Active Directory