Powershell — кто изменил пароль пользователя в Active Directory

Хотите узнать, как фильтровать журналы событий Windows с помощью Powershell, чтобы узнать, кто изменил пароль пользователя в домене? В этом уроке мы покажем вам, как узнать, кто изменил пароль учетной записи в Active Directory.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Список оборудования

Здесь вы можете найти список оборудования, используемого для создания этого учебника.

Список оборудования

Эта ссылка будет также показать список программного обеспечения, используемого для создания этого учебника.

Похожий учебник — PowerShell

На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с PowerShell.

Учебник Powershell — Кто изменил пароль пользователя в Active Directory

На контроллере домена запустите командную строку Powershell с повышенными привилегиями.

Перечислите события, связанные с изменением пароля пользователя.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Отображение содержимого событий, связанных со сменой паролей пользователей.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Message              : An attempt was made to reset an account's password.

Subject:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-500
                        Account Name:           Administrator
                        Account Domain:         TECH
                        Logon ID:               0x17A3FB

Target Account:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-1108
                        Account Name:           yamcha
                        Account Domain:         TECH
Id                   : 4724
Version              : 0
Qualifiers           :
Level                : 0
Task                 : 13824
Opcode               : 0
Keywords             : -9214364837600034816
RecordId             : 194374
ProviderName         : Microsoft-Windows-Security-Auditing
ProviderId           : 54849625-5478-4994-a5ba-3e3b0328c30d
LogName              : Security
ProcessId            : 832
ThreadId             : 3356
MachineName          : TECH-DC01.TECH.LOCAL
UserId               :
TimeCreated          : 8/11/2022 2:34:57 AM
ActivityId           :
RelatedActivityId    :
ContainerLog         : Security
MatchedQueryIds      : {}
Bookmark             : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName     : Information
OpcodeDisplayName    : Info
TaskDisplayName      : User Account Management
KeywordsDisplayNames : {Audit Success}
Properties           : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty...}

Отображение только содержимого сообщения о событии.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Узнайте, кто изменил пароли пользователей за последние 30 дней.

Copy to Clipboard

Поиск событий, связанных со сменой паролей пользователей за определенный промежуток времени.

Copy to Clipboard

Перечислите события, связанные со сменой пароля определенной учетной записи пользователя.

Copy to Clipboard

В нашем примере мы фильтровали на основе содержимого сообщения о событии.

Этот сценарий Powershell фильтрует тех, кто изменил пароль пользователя.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Когда пользователь меняет собственный пароль, правильным идентификатором события является 4723.

Поздравляю! Вы можете узнать, кто изменил пароль пользователя в Active Directory, с помощью Powershell.

Powershell — кто изменил пароль пользователя в Active Directory