Poglejmo, kako v okolju domene Active Directory s pomočjo dnevnikov krmilnika domene določimo, kateri skrbnik je ponastavil geslo za določen uporabniški račun.
Najprej morate v domenskih pravilnikih omogočiti revizijo dogodkov upravljanja računa. Če želite to narediti:
- Odprite GPMC Upravljanje politik v skupini (gpmc.msc) in uredite pravilnik o domeni Privzeti pravilnik domene.
- Nato v konzoli urejevalnika skupinskih pravilnikov pojdite na Konfiguracija računalnika -> Politike -> Nastavitve sistema Windows -> Varnostne nastavitve -> Lokalne politike -> Revizijska politika
- Poiščite in omogočite pravilnik Revizija upravljanja uporabniških računov (če želite v dnevnik zabeležiti uspešne in neuspešne poskuse spremembe gesla, izberite možnosti Uspeh in Neuspeh).Opomba. Isti pravilnik lahko omogočite v razdelku Napredne revizijske politike (Konfiguracija računalnika> Politike> Nastavitve sistema Windows> Varnostne nastavitve> Napredna konfiguracija revizije)
- Po tem, ko boste v odjemalcih pregledali cikel posodobitve skupinskih pravilnikov, lahko poskusite spremeniti geslo katerega koli uporabnika v AD-ju.
- Po tem na krmilniku domene odprite konzolo pregledovalnika dogodkov in pojdite na razdelek Pregledovalnik dogodkov -> Dnevniki Windows -> Varnost. Z desno miškino tipko kliknite dnevnik in izberite Filtrirajte trenutni dnevnik.
- V parametrih filtra določite, da naj bodo prikazani samo dogodki s kodo EventID 4724.
- Na seznamu dogodkov bodo ostali le dogodki uspešne spremembe gesla (Poskusili smo ponastaviti geslo računa.) Hkrati lahko v prikazu razširjenega dogodka vidite ime skrbniškega računa, ki je opravil spremembo gesla (Subject :), in dejansko uporabniški račun, katerega geslo je bilo ponastavljeno (Target Account :).
Namig. V okviru pridobivanja popolnih informacij o dogodkih sprememb uporabniškega gesla se lahko v filter dodajo naslednji identifikatorji dogodkov:
- 4724 (628 - pri starejših različicah sistema Windows Server) - Poskusili smo ponastaviti geslo računa
- 4723 (627 - v starejših različicah sistema Windows Server) - Poskusili smo spremeniti geslo računa
Informacije o tem dogodku iz revij vse Krmilnike domen Active Directory, ki uporabljajo cmdlete PowerShell Get-ADComputer in Get-WinEvent, je mogoče dobiti na naslednji način:(Get-ADComputer -SearchBase 'OU = Krmilniki domen, DC = winitpro, DC = loc' -Filter *) Ime | foreach
Get-WinEvent -ComputerName $ _ -FilterHashtable @ LogName = "Varnost"; ID = 4724 | Foreach
$ event = [xml] $ _. ToXml ()
če ($ dogodek)
$ Time = Datum pridobitve $ _. TimeCreate -UFormat "% Y-% m-% d% H:% M:% S"
$ AdmUser = $ event.Event.EventData.Data [4]. "# Besedilo"
$ User = $ event.Event.EventData.Data [0]. "# Besedilo"
$ dc = $ event.Event.System.com Computer
piši gostitelj "Admin" $ AdmUser "ponastavi geslo na" $ Uporabnik "na" $ dc "" $ čas
Če je potrebno, lahko te podatke zapišete neposredno iz PowerShell-a v zunanjo bazo podatkov mysql, prek posebnega MySQL .NET Connector, podobno skriptu, ki je opisan v članku..