На Windows Service Control - Как определить, кто сменил пароль на учетной записи службы?

|источник

1 ответ1

0

Как мне узнать, кто сменил пароль?

Ищите 4723: была предпринята попытка изменить пароль учетной записи и 4724: была предпринята попытка изменить пароль учетной записи

4723: была предпринята попытка изменить пароль учетной записи

  • Пользователь попытался изменить свой пароль. Предмет и цель всегда должны совпадать. Не путайте это событие с 4724.

  • Это событие регистрируется как сбой, если его новый пароль не соответствует политике паролей.

  • Если пользователь не может правильно ввести свой старый пароль, это событие не регистрируется. Вместо этого для учетных записей домена 4771 регистрируется с именем kadmin/changepw в качестве имени службы.

  • Это событие регистрируется как для локальных учетных записей SAM, так и для учетных записей домена.

  • Вы также увидите событие с кодом 4738, информирующее вас о той же информации.

Тема:

Пользователь и сеанс входа, который выполнил действие.

  • Идентификатор безопасности: SID учетной записи.
  • Имя учетной записи: имя для входа в учетную запись.
  • Домен учетной записи: домен или - в случае локальных учетных записей - имя компьютера.
  • Идентификатор входа - это полууникальный (уникальный между перезагрузками) номер, который идентифицирует сеанс входа в систему. Идентификатор входа в систему позволяет коррелировать в обратном направлении к событию входа в систему (4624), а также к другим событиям, зарегистрированным во время того же сеанса входа в систему.

См. Ссылку на источник ниже для получения полного списка категорий и подкатегорий мероприятия.

Источник 4723: была предпринята попытка изменить пароль учетной записи

4724: была предпринята попытка сбросить пароль учетной записи

  • Субъект попытался сбросить пароль Цели:

  • Не путайте это событие с 4723.

  • Это событие регистрируется как сбой, если новый пароль не соответствует политике паролей.

  • Это событие регистрируется как для локальных учетных записей SAM, так и для учетных записей домена.

  • Вы также увидите одно или несколько событий с кодом 4738, информирующих вас о той же информации.

Тема:

Пользователь и сеанс входа, который выполнил действие.

  • Идентификатор безопасности: SID учетной записи.
  • Имя учетной записи: имя для входа в учетную запись.
  • Домен учетной записи: домен или - в случае локальных учетных записей - имя компьютера.
  • Идентификатор входа - это полууникальный (уникальный между перезагрузками) номер, который идентифицирует сеанс входа в систему. Идентификатор входа в систему позволяет коррелировать в обратном направлении к событию входа в систему (4624), а также к другим событиям, зарегистрированным во время того же сеанса входа в систему.

См. Ссылку на источник ниже для получения полного списка категорий и подкатегорий мероприятия.

Источник 4724: была предпринята попытка сбросить пароль учетной записи

Дальнейшее чтение

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .