Powershell – Vem har ändrat användarlösenordet i Active Directory

Vill du lära dig hur du filtrerar Windows-händelseloggar med Powershell för att hitta vem som har ändrat användarens lösenord på domänen? I den här handledningen kommer vi att visa dig hur du hittar vem som ändrade lösenordet för ett konto i Active Directory.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Utrustning lista

Här kan du hitta listan över utrustning som används för att skapa denna tutorial.

Utrustning lista

Denna länk kommer också att visa programvaran lista som används för att skapa denna tutorial.

Relaterad självstudie – PowerShell

På den här sidan erbjuder vi snabb tillgång till en lista med självstudiekurser relaterade till PowerShell.

Självstudie Powershell – Vem har ändrat användarlösenordet i Active Directory

Starta en upphöjd Powershell-kommandorad på domänkontrollanten.

Lista händelser relaterade till ändringen av ett användarlösenord.

Copy to Clipboard

Här är kommandot utgång.

Copy to Clipboard

Visa innehållet i händelser relaterade till ändring av användarlösenord.

Copy to Clipboard

Här är kommandot utgång.

Copy to Clipboard

Message              : An attempt was made to reset an account's password.

Subject:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-500
                        Account Name:           Administrator
                        Account Domain:         TECH
                        Logon ID:               0x17A3FB

Target Account:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-1108
                        Account Name:           yamcha
                        Account Domain:         TECH
Id                   : 4724
Version              : 0
Qualifiers           :
Level                : 0
Task                 : 13824
Opcode               : 0
Keywords             : -9214364837600034816
RecordId             : 194374
ProviderName         : Microsoft-Windows-Security-Auditing
ProviderId           : 54849625-5478-4994-a5ba-3e3b0328c30d
LogName              : Security
ProcessId            : 832
ThreadId             : 3356
MachineName          : TECH-DC01.TECH.LOCAL
UserId               :
TimeCreated          : 8/11/2022 2:34:57 AM
ActivityId           :
RelatedActivityId    :
ContainerLog         : Security
MatchedQueryIds      : {}
Bookmark             : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName     : Information
OpcodeDisplayName    : Info
TaskDisplayName      : User Account Management
KeywordsDisplayNames : {Audit Success}
Properties           : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty...}

Visa endast innehållet i händelsemeddelandet.

Copy to Clipboard

Här är kommandot utgång.

Copy to Clipboard

Hitta vem som har ändrat lösenordet för användare under de senaste 30 dagarna.

Copy to Clipboard

Sök efter händelser relaterade till ändring av användarlösenord under ett visst tidsintervall.

Copy to Clipboard

Lista händelser relaterade till lösenordsändringen för ett specifikt användarkonto.

Copy to Clipboard

I vårt exempel filtrerade vi baserat på händelsemeddelandeinnehållet.

Det här Powershell-skriptet filtrerar vem som har ändrat användarlösenordet.

Copy to Clipboard

Här är kommandot utgång.

Copy to Clipboard

När en användare ändrar sitt eget lösenord är rätt händelse-ID 4723.

Grattis! Du kan hitta vem som har ändrat ett användarlösenord i Active Directory med hjälp av Powershell.

Powershell – Vem har ändrat användarlösenordet i Active Directory