У меня есть сведения об учетной записи пользователя, когда она была изменена в последний раз (был выполнен сброс пароля). Но мне было бы интересно узнать, кто сбрасывал пароль для этого пользователя. Есть ли способ узнать это на сервере Active Directory Windows 2012.
Включите расширенный аудит на контроллерах домена для управления учетными записями: аудит управления учетными записями пользователей
Обратите внимание, что если вы включите расширенный аудит, вы не должны использовать устаревший аудит.
Вот некоторые из интересных событий:
4723: Предпринята попытка изменить пароль учетной записи.
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4723
Пользователь попытался изменить свой пароль. Тема и цель всегда должны совпадать. Не путайте это событие с 4724.
Это событие регистрируется как сбой, если его новый пароль не соответствует политике паролей.
Если пользователь не может правильно ввести свой старый пароль, это событие не регистрируется. Вместо этого для учетных записей домена 4771 регистрируется с kadmin / changepw в качестве имени службы.
Это событие регистрируется как для локальных учетных записей SAM, так и для учетных записей домена.
Вы также увидите событие с идентификатором 4738, информирующее вас об этой же информации.
4738: учетная запись пользователя была изменена
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4738
Пользователь, указанный в Subject:, изменил пользователя, указанного в Target Account :.
Атрибуты показывают некоторые свойства, которые были установлены во время изменения учетной записи.
Это событие регистрируется как для локальных учетных записей SAM, так и для учетных записей домена.
В зависимости от того, что было изменено, вы можете увидеть другие события управления учетными записями пользователей, относящиеся к определенным операциям, например сбросу пароля.
4724: Была сделана попытка сбросить пароль учетной записи.
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4724
Субъект попытался сбросить пароль Цели:
Не путайте это событие с 4723.
Это событие регистрируется как сбой, если новый пароль не соответствует политике паролей.
Это событие регистрируется как для локальных учетных записей SAM, так и для учетных записей домена.
Вы также увидите одно или несколько событий с идентификатором 4738s, информирующих вас об этой же информации.
Вы можете включить аудит для изменений службы каталогов. Я не знаю окончательно, появляется ли там сброс пароля. Они, безусловно, будут изменены, но аудит может фиксировать только «нормальную» модификацию атрибутов, а это означает, что аудит может иметь представление, что изменение было выполнено от имени DC, а не в контексте конкретного пользователя или административный пользователь.
В этом отношении изменение пароля может быть особым обстоятельством. Чего стоит ...
https://technet.microsoft.com/en-us/library/cc731607(v=ws.10).aspx http://blogs.technet.com/b/askpfeplat/archive/2012/04/22/who-moved-the-ad-cheese.aspx
Я предполагаю, что без включения аудита, даже если вы покопаетесь в каталоге, вы получите информацию только о том, что было сделано и на каком контроллере домена, но не о том, какой контекст безопасности пользователей был ответственен за изменение.