Finden Sie heraus, wann das Kennwort geändert wurde - Windows SBS 2011

19329
Samuel Nicholson

Ich habe mich selbst aus einer verlorenen Ursache herausgefunden. Wenn ich versuche, auf einen der Server zuzugreifen, die ich verwalte, konnte ich mich nicht anmelden. Das Passwort war falsch.

Ich habe dieses Kennwort NICHT geändert und musste ein lokales Administratorkonto verwenden, um das Kennwort zurückzusetzen, um sich erneut anzumelden.

Die lokalen Ereignisprotokolle für "Sicherheit" zeigen keine Erwähnung der Kennwortänderung oder setzen Ereignisse - EVER. - Es gibt über 233.000 Protokolle, also gehe ich davon aus, dass ich am falschen Ort suche.

Allerdings der Powershell-Befehl: Hat NET USER "loginid" | find /i "password last set"Datum und Uhrzeit meiner Änderung vor ein paar Minuten zurückgegeben.

Wie kann ich eine vollständige Liste der Passwortänderungen sehen? Oder zumindest die vor mir?

3
Wenn Kontenüberwachungsrichtlinien eingerichtet, aktiviert und ordnungsgemäß eingerichtet sind, werden die vom Benutzer initiierten Kennwortänderungen die Ereignisse 627 und 628 sein. Wenn die Überwachung nicht aktiviert ist oder das Ereignisprotokoll gelöscht wurde, sind Sie der Meinung, dass Sie SOL sind. Ƭᴇcʜιᴇ007 vor 11 Jahren 0
Ich bin gerade dabei, dies zu überprüfen, während ich spreche. Ich habe das Gefühl, dass die Jungs, die diesen Server vor mir verwaltet haben, sich nie darum gekümmert haben. Ich weiß, dass ich ihn nicht eingerichtet habe. Samuel Nicholson vor 11 Jahren 0

2 Antworten auf die Frage

3
HighTechGeek

Öffnen Sie die Ereignisanzeige und filtern Sie diese Ereignis-ID im Sicherheitsprotokoll:

Ereignis-ID 628: Kennwort für Benutzerkonto festgelegt

Dieses Ereignis zeigt an, dass der Benutzer "Anrufer" das Kennwort des Benutzers "Ziel" zurückgesetzt hat. Das Zurücksetzen von Kennwörtern erfordert keine Kenntnis des aktuellen Kennworts. Siehe Ereignis 627 für Kennwortänderungen durch den Benutzer selbst. Dieses Ereignis wird auch von Ereignis 642 begleitet, aus dem hervorgeht, dass das Datum für das zuletzt gesetzte Kennwort aktualisiert wurde.

0
Neil

Laut Ultimate Windows Security sollten Sie im Sicherheitsereignisprotokoll nach den folgenden Ereignissen suchen:

  • 4723 Der Benutzer hat sein Passwort geändert
  • 4724 Ein Kontoführer hat ein Kennwort zurückgesetzt

Jedes dieser Ereignisse wird auch das Ereignis 4738 auslösen. Ein Benutzerkonto wurde geändert.

Wenn das Kennwort die Komplexitätsanforderungen nicht erfüllte, wird das Ereignis als Überwachungsfehler und nicht als Überwachungserfolg protokolliert.

Wenn der Benutzer sein altes Kennwort nicht richtig eingegeben hat, wird das obige Ereignis nicht protokolliert. Auf einem Domänencontroller wird jedoch ein Ereignis 4771 angezeigt, das auf den entsprechenden Kerberos-Vorauthentifizierungsfehler zurückzuführen ist.