如何检查谁重置了 Active Directory 中的用户密码

让我们看看如何使用域控制器安全日志来跟踪谁重置了 Active Directory 中特定用户帐户的密码。

您可以使用审核策略跟踪密码重置事件。首先，您需要在AD域中启用审核帐户管理策略。去做吧：

1. 打开组策略管理 (gpmc.msc) 控制台并编辑默认域策略。

   

2. 然后在组策略编辑器中，转到计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 本地策略 -> 审核策略。

3. 找到审核用户帐户管理策略并启用它（如果您想记录更改密码的成功和失败尝试，请选择成功和失败）。

   注意。 您也可以在“高级审核策略”部分启用此策略（计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 高级审核策略配置）。

   

4. 在客户端应用GPO后，您可以尝试更改任何AD用户的密码。

5. 然后在域控制器上打开事件查看器，然后转至事件查看器 -> Windows 日志 -> 安全。右键单击日志并选择过滤当前日志。

   

6. 在过滤器参数中，指定您只需显示 EventID 4724 的事件。

   

7. 只有密码更改成功的事件才会保留在列表中。 （尝试重置帐户密码。）在有关事件的信息中，您可以看到更改密码的管理员帐户（主题：）以及密码已重置的用户帐户的名称（目标帐户：）。

   

提示。要获取有关更改用户密码事件的更多信息，请将以下 EventID 添加到过滤器：

1. 4724（以前的 Windows Server 版本中为 628） - 尝试重置帐户密码（管理员重置用户密码）

2. 4723（以前的 Windows Server 版本中为 627） - 尝试更改帐户的密码（用户自己更改了密码）

您可以使用 Get-ADComputer 和 Get-WinEvent PowerShell cmdlet 从所有 Active Directory 域控制器获取有关此事件的信息：

(Get-ADComputer -SearchBase ‘OU=Domain Controllers,DC=a-d,DC=com’ -Filter *).Name | foreach {
Get-WinEvent -ComputerName $_ -FilterHashtable @{LogName="Security";ID=4724 }| Foreach {
$event = [xml]$_.ToXml()
if($event)
{
$Time = Get-Date $_.TimeCreated -UFormat "%Y-%d-%m %H:%M:%S"
$AdmUser = $event.Event.EventData.Data[4]."#text"
$User = $event.Event.EventData.Data[0]."#text"
$dc = $event.Event.System.computer
write-host “Admin ” $AdmUser “ resets password to ” $User “ on ” $dc “ “ $Time
}
}
}

如有必要，您可以根据如何检测谁从 Windows 共享文件夹中删除了文件一文中描述的类似脚本，使用 MySQL .NET Connector 将此信息直接从 PowerShell 保存到外部 MySQL 数据库。