Lássuk, hogyan határozhatjuk meg az Active Directory tartományi környezetben, a tartományvezérlő naplóinak felhasználásával, hogy melyik rendszergazda állította vissza az adott felhasználói fiókhoz tartozó jelszót.
Mindenekelőtt a domain házirendekben engedélyeznie kell a fiókkezelési események ellenőrzését. Ehhez:
- Nyissa meg a GPMC-t Csoportházirend-menedzsment (gpmc.msc), és módosítsa a domain házirendet Alapértelmezett domain házirend.
- Ezután lépjen a csoportházirend-szerkesztő konzolján Számítógép konfigurálása -> Házirendek -> Windows beállítások -> Biztonsági beállítások -> Helyi házirendek -> Ellenőrzési házirend
- Keresse meg és engedélyezze a házirendet A felhasználói fiókkezelés ellenőrzése (Ha a naplóba szeretne rögzíteni a jelszó megváltoztatásának sikeres és sikertelen kísérleteit is, válassza az opciókat siker és kudarc).megjegyzés. Ugyanazt a házirendet engedélyezheti a speciális ellenőrzési irányelvek szakaszban (Számítógép konfigurációja> Irányelvek> Windows beállítások> Biztonsági beállítások> Speciális ellenőrzési konfiguráció)
- Miután végigment a csoportházirend-frissítési cikluson az ügyfeleknél, megpróbálhatja megváltoztatni bármely AD-felhasználó jelszavát.
- Ezután nyissa meg az eseménymegjelenítő konzolt a tartományvezérlőn, és lépjen a szakaszba Eseménynapló -> Windows naplók -> Biztonság. Kattintson a jobb gombbal a naplóra, és válassza a lehetőséget Az aktuális napló szűrése.
- A szűrőparaméterekben adja meg, hogy csak az EventID kóddal rendelkező események jelenjenek meg 4724.
- Csak a sikeres jelszóváltás eseményei maradnak az események listájában (Megkíséreltem visszaállítani egy fiók jelszavát.). Ugyanakkor a kibővített esemény nézetben láthatja a jelszó megváltoztatását végrehajtó rendszergazdai fiók nevét (Tárgy :) és valójában azt a felhasználói fiókot, amelynek a jelszavát visszaállította (Célfiók :).
tanács. A felhasználói jelszó megváltoztatásával kapcsolatos teljes információk megszerzésének összefüggésében a következő esemény-azonosítók hozzáadhatók a szűrőhöz:
- 4724 (628 - a Windows Server régebbi verzióin) - Megpróbálták visszaállítani egy fiók jelszavát
- 4723 (627 - a Windows Server régebbi verzióiban) - Megkíséreltem megváltoztatni egy fiók jelszavát
Információk erről az eseményről a folyóiratokból minden Az Active Directory tartományvezérlői, a PowerShell-parancsmagok, a Get-ADComputer és a Get-WinEvent használatával, az alábbiak szerint szerezhetők be:(Get-ADComputer -SearchBase 'OU = Domain Controllers, DC = winitpro, DC = loc' -Filter *). Név | foreach
Get-WinEvent -ComputerName $ _ -FilterHashtable @ LogName = "Biztonság"; ID = 4724 | Foreach
$ esemény = [xml] $ _. ToXml ()
if ($ esemény)
$ Time = Get-Date $ _. TimeCreated -UFormat "% Y-% m-% d% H:% M:% S"
$ AdmUser = $ event.Event.EventData.Data [4]. "# Szöveg"
$ Felhasználó = $ event.Event.EventData.Data [0]. "# Szöveg"
$ dc = $ event.Event.System.computer
write-host “Admin” $ AdmUser “visszaállítja a jelszót a“ $ User ”be” $ dc ““ $ Time
Szükség esetén ezeket az adatokat közvetlenül a PowerShell-ből egy külső mysql adatbázisba lehet írni egy speciális MySQL .NET-csatlakozón keresztül, a cikkben ismertetett szkripthez hasonlóan. Tudja meg, ki törölte a fájlt a fájlkiszolgálón.