Хотите узнать, как фильтровать журналы событий Windows с помощью Powershell, чтобы узнать, кто изменил пароль пользователя в домене? В этом уроке мы покажем вам, как узнать, кто изменил пароль учетной записи в Active Directory.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Окна 11

Список оборудования

Здесь вы можете найти список оборудования, используемого для создания этого учебника.

Эта ссылка будет также показать список программного обеспечения, используемого для создания этого учебника.

Похожий учебник - PowerShell

На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с PowerShell.

Учебник Powershell - Кто изменил пароль пользователя в Active Directory

На контроллере домена запустите командную строку Powershell с повышенными привилегиями.

Windows 10 - powershell elevated

Перечислите события, связанные с изменением пароля пользователя.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Отображение содержимого событий, связанных со сменой паролей пользователей.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Отображение только содержимого сообщения о событии.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Узнайте, кто изменил пароли пользователей за последние 30 дней.

Copy to Clipboard

Поиск событий, связанных со сменой паролей пользователей за определенный промежуток времени.

Copy to Clipboard

Перечислите события, связанные со сменой пароля определенной учетной записи пользователя.

Copy to Clipboard

В нашем примере мы фильтровали на основе содержимого сообщения о событии.

Этот сценарий Powershell фильтрует тех, кто изменил пароль пользователя.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Когда пользователь меняет собственный пароль, правильным идентификатором события является 4723.

Поздравляю! Вы можете узнать, кто изменил пароль пользователя в Active Directory, с помощью Powershell.