概要
Active Directory での,パスワードの変更操作がいつ行われたか,イベントログに記録させる
方法
ドメインコントローラーのポリシーにて,「アカウント管理の監査」
※これで ドメインコントローラーサーバーのイベントログに記録される
イベントの見方
主たるドメインコントローラーサーバーのイベントログを参照する。(複数台ドメインコントローラーが動作していれば,そのうちのどれか)
セキュリティ の イベントID: 4723,4724 でフィルターをかければよい
アカウントのパスワードの変更が試行されました。 サブジェクト: セキュリティ ID: xxxxxxx\tfujii アカウント名: tfujii アカウント ドメイン: xxxxxxxx ログオン ID: 0x1516AD9 ターゲット アカウント: セキュリティ ID: xxxxxx\tfujii アカウント名: tfujii アカウント ドメイン: xxxxxxxx 追加情報: 特権 -
コメント