Wie man Passwortänderungen in Active Directory erkennt

Native Prüfung

1. Führen Sie GPMC.msc (url2open.com/gpmc) aus → öffnen Sie "Default Domain Policy" → Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Überwachungsrichtlinie:
   • Kontenverwaltung überwachen → Definieren → Erfolg und Fehler.
2. Führen Sie GPMC.msc aus → öffnen Sie „Default Domain Policy“ → Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Ereignisprotokoll → Definieren:
   • Maximale Sicherheitsprotokollgröße auf 1GB
   • Methode zur Aufbewahrung des Sicherheitsprotokolls, um Ereignisse bei Bedarf zu überschreiben
3. Öffnen Sie die Ereignisanzeige und suchen Sie im Sicherheitsprotokoll nach Ereignis-IDs: 628/4724 – Passwortrücksetzungsversuch durch den Administrator und 627/4723 – Passwortänderungsversuch durch den Benutzer.

Netwrix Auditor für Active Directory

1. Starten Sie Netwrix Auditor → Navigieren Sie zu „Berichte“ → Öffnen Sie „Active Directory“ → Gehen Sie zu „Active Directory Änderungen“ → Wählen Sie „Passwort-Resets durch Administrator“ oder „Benutzerpasswort-Änderungen“ → Klicken Sie auf „Anzeigen“.
2. Um regelmäßig Berichte per E-Mail zu erhalten, wählen Sie die Option "Abonnieren" und definieren Sie Zeitplan und Empfänger.