Cómo detectar cambios de contraseña en Active Directory

Auditoría Nativa

1. Ejecute GPMC.msc (url2open.com/gpmc) → abra "Directiva de dominio predeterminada" → Configuración del equipo → Directivas → Configuración de Windows → Configuración de seguridad → Directivas locales → Directiva de auditoría:
   • Audite la gestión de cuentas → Defina → Éxito y Fallo.
2. Ejecute GPMC.msc → abra "Política de dominio predeterminada" → Configuración del equipo → Políticas → Configuración de Windows → Configuración de seguridad → Registro de eventos → Definir:
   • Tamaño máximo del registro de seguridad a 1GB
   • Método de retención para el registro de seguridad para Sobrescribir eventos según sea necesario
3. Abra el Visor de eventos y busque en el registro de Seguridad los id de evento: 628/4724 – intento de restablecimiento de contraseña por parte del administrador y 627/4723 – intento de cambio de contraseña por parte del usuario.

Netwrix Auditor para Active Directory

1. Ejecute Netwrix Auditor → Vaya a “Informes” → Abra “Active Directory” → Acceda a “Cambios en Active Directory” → Seleccione “Restablecimientos de Contraseña por el Administrador” o “Cambios de Contraseña de Usuario” → Haga clic en “Ver”.
2. Para recibir informes por correo electrónico regularmente, elija la opción "Suscribirse" y defina el horario y el destinatario.