Powershell - Quem alterou a senha do usuário no Active Directory

Você gostaria de aprender como filtrar os registros de eventos do Windows usando o Powershell para descobrir quem alterou a senha do usuário no domínio? Neste tutorial, vamos mostrar como encontrar quem alterou a senha de uma conta no Active Directory.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Lista de equipamentos

Aqui você pode encontrar a lista de equipamentos usados para criar este tutorial.

Lista de equipamentos

Este link também mostrará a lista de software usada para criar este tutorial.

Tutorial relacionado – PowerShell

Nesta página, oferecemos acesso rápido a uma lista de tutoriais relacionados ao PowerShell.

Tutorial Powershell – Quem alterou a senha do usuário no Active Directory

No controlador de domínio, inicie uma linha de comando Powershell elevada.

Liste eventos relacionados à alteração de uma senha de usuário.

Copy to Clipboard

Aqui está a saída do comando.

Copy to Clipboard

Exibir o conteúdo de eventos relacionados à alteração de senhas de usuário.

Copy to Clipboard

Aqui está a saída do comando.

Copy to Clipboard

Message              : An attempt was made to reset an account's password.

Subject:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-500
                        Account Name:           Administrator
                        Account Domain:         TECH
                        Logon ID:               0x17A3FB

Target Account:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-1108
                        Account Name:           yamcha
                        Account Domain:         TECH
Id                   : 4724
Version              : 0
Qualifiers           :
Level                : 0
Task                 : 13824
Opcode               : 0
Keywords             : -9214364837600034816
RecordId             : 194374
ProviderName         : Microsoft-Windows-Security-Auditing
ProviderId           : 54849625-5478-4994-a5ba-3e3b0328c30d
LogName              : Security
ProcessId            : 832
ThreadId             : 3356
MachineName          : TECH-DC01.TECH.LOCAL
UserId               :
TimeCreated          : 8/11/2022 2:34:57 AM
ActivityId           :
RelatedActivityId    :
ContainerLog         : Security
MatchedQueryIds      : {}
Bookmark             : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName     : Information
OpcodeDisplayName    : Info
TaskDisplayName      : User Account Management
KeywordsDisplayNames : {Audit Success}
Properties           : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty...}

Exibir apenas o conteúdo da mensagem do evento.

Copy to Clipboard

Aqui está a saída do comando.

Copy to Clipboard

Descubra quem mudou a senha dos usuários nos últimos 30 dias.

Copy to Clipboard

Procure eventos relacionados à alteração de senhas de usuário em um intervalo de tempo específico.

Copy to Clipboard

Liste eventos relacionados à alteração de senha de uma conta de usuário específica.

Copy to Clipboard

Em nosso exemplo, filtramos com base no conteúdo da mensagem de evento.

Este script Powershell filtra quem alterou a senha do usuário.

Copy to Clipboard

Aqui está a saída do comando.

Copy to Clipboard

Quando um usuário altera sua própria senha, o ID de evento correto é 4723.

Parabéns! Você pode encontrar quem alterou uma senha de usuário no Active Directory usando o Powershell.

Powershell – Quem alterou a senha do usuário no Active Directory