パスワードがいつ変更されたかを確認する-WindowsSBS 2011
基本的に、管理しているサーバーの1つにアクセスしようとすると、ログインできず、パスワードが正しくありませんでした...
このパスワードを変更しなかったため、ローカル管理者アカウントを使用してパスワードをリセットし、再度ログインする必要がありました。
「セキュリティ」のローカルイベントログには、パスワードの変更や設定イベントについての言及はありません。 -ログは233,000を超えているので、間違った場所を探していると思います。
ただし、Powershellコマンド:Net User "loginid" | find /i "password last set"数分前に変更した日付と時刻を返しました。
パスワード変更の完全なリストを確認するにはどうすればよいですか?または少なくとも私の前のもの?
イベントビューアを開き、セキュリティログでこのイベントIDをフィルタリングします。
イベントID628:ユーザーアカウントのパスワードが設定されました
このイベントは、「発信者」ユーザーが「ターゲット」ユーザーのパスワードをリセットしたことを示します。パスワードのリセットには、現在のパスワードの知識は必要ありません。ユーザー自身によるパスワードの変更については、イベント627を参照してください。このイベントには、[パスワードの最終設定日]フィールドが更新されたことを示すイベント642も伴います。
ltimate Windows Security によると、セキュリティイベントログで次のイベントを探す必要があります。
- 4723ユーザーがパスワードを変更しました
- 4724アカウントオペレーターがパスワードをリセットしました
これらのいずれかにより、イベント4738もトリガーされます。ユーザーアカウントが変更されました。
パスワードが複雑さの要件を満たしていない場合、イベントは監査の成功ではなく監査の失敗としてログに記録されます。
ユーザーが古いパスワードを正しく入力しなかった場合、上記のイベントはログに記録されませんが、ドメインコントローラーでは、関連するKerberos事前認証の失敗により、イベント4771が発生します。