Я обнаружил, что потерпел неудачу, в основном при попытке получить доступ к одному из серверов, которыми я управлял, я не смог войти, пароль был неверный ...
Я НЕ изменил этот пароль, и мне пришлось использовать локальную учетную запись администратора, чтобы сбросить пароль для входа в систему.
Локальные журналы событий «Безопасность» не содержат упоминаний об изменении пароля или установленных событиях - НИКОГДА. - Там более 233 000 журналов, поэтому я предполагаю, что я смотрю не в том месте.
Однако команда Powershell: NET USER "loginid" | find /i "password last set"вернула дату и время, когда я изменил ее несколько минут назад.
Как я могу увидеть полный список изменений пароля? Или хотя бы тот, что раньше моего?
Open the Event Viewer and filter for this event ID in the Security log:
Event ID 628: User Account password set
This event indicates the "caller" user reset the password of the "target" user. Password resets do not required knowledge of the current password. See event 627 for password changes by the user himself. This event will also be accompanied by event 642 showing that the Password Last Set date field was updated.
В соответствии с Ultimate Windows Security вы должны искать следующие события в журнале событий безопасности:
Любой из них также вызовет событие 4738 Учетная запись пользователя была изменена.
Если пароль не отвечал требованиям сложности, событие регистрируется как сбой аудита, а не как успех аудита.
Если пользователю не удалось правильно ввести свой старый пароль, указанное выше событие не регистрируется, однако на контроллере домена вы получите событие 4771 из-за сбоя предварительной аутентификации Kerberos.