3

Я обнаружил, что потерпел неудачу, в основном при попытке получить доступ к одному из серверов, которыми я управлял, я не смог войти, пароль был неверный ...

Я НЕ изменил этот пароль, и мне пришлось использовать локальную учетную запись администратора, чтобы сбросить пароль для входа в систему.

Локальные журналы событий "Безопасность" не содержат упоминаний об изменении пароля или установленных событиях - НИКОГДА. - Там более 233 000 журналов, поэтому я предполагаю, что я смотрю не в том месте.

Однако команда Powershell: NET USER "loginid" | find /i "password last set" вернул дату и время, когда я менял его несколько минут назад.

Как я могу увидеть полный список изменений пароля? Или хотя бы тот, что раньше моего?

2 ответа2

3

Откройте средство просмотра событий и отфильтруйте этот идентификатор события в журнале безопасности:

Код события 628: пароль учетной записи пользователя установлен

Это событие указывает, что "вызывающий" пользователь сбрасывает пароль "целевого" пользователя. Сброс пароля не требует знания текущего пароля. Смотрите событие 627 для изменения пароля самим пользователем. Это событие также будет сопровождаться событием 642, показывающим, что поле даты последнего набора пароля было обновлено.

0

В соответствии с Ultimate Windows Security вы должны искать следующие события в журнале событий безопасности:

  • 4723 Пользователь изменил свой пароль
  • 4724 Оператор аккаунта сбросил пароль

Любой из них также вызовет событие 4738 Учетная запись пользователя была изменена.

Если пароль не отвечал требованиям сложности, событие регистрируется как сбой аудита, а не как успех аудита.

Если пользователю не удалось правильно ввести свой старый пароль, указанное выше событие не регистрируется, однако на контроллере домена вы получите событие 4771 из-за сбоя предварительной аутентификации Kerberos.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .