Detectar quien cambio o reseteo una contraseña en un Directorio Activo
Iniciado por
Felix
, mar 21 2013 21:57
Pulsa corazón para recibir avisos de nuevas Respuestas
AUTOR PREGUNTA #1
Publicado 21 marzo 2013 - 21:57
Hola necesito saber si es posible encontrar quien cambió un password en un dominio Windows Server 2008 R2. Vamos buscar alguna traza o algo que verifique quien lo hizo.
Gracias.
Gracias.
-
¿Tienes la misma pregunta? Yo también
Esto también te interesa!
PREGUNTAS SIMILARES
#2
Publicado 21 marzo 2013 - 22:17
Busca estos eventos en el visor de sucesos, te mostrarán quién lo cambió ya que son eventos de reseteo de contraseña
Event id 4724 en W2008 Event id 628 en W2003
AUTOR PREGUNTA #3
Publicado 22 marzo 2013 - 13:07
Gracias César me sirvio de mucha ayuda, ampliando info voy a añadir los eventos de seguridad típicos de cuentas que seguro que a más de uno le vendrán bien.
Administración de cuentas de usuario eventID sucesos
4720 Se creó una cuenta de usuario.
4722 Se habilitó una cuenta de usuario.
4723 Se ha intentado cambiar la contraseña de una cuenta.
4724 Se intentó restablecer la contraseña de una cuenta.
4725 Se deshabilitó una cuenta de usuario.
4726 Se ha eliminado una cuenta de usuario.
4738 Se ha modificado una cuenta de usuario.
4740 Se ha bloqueado una cuenta de usuario.
4765 SID History se ha agregado a una cuenta.
4766 Error al intentar agregar SID History a una cuenta.
4767 Una cuenta de usuario se ha desbloqueado.
4780 Se ha establecido la ACL en las cuentas que son miembros de grupos de administradores.
4781 Se cambió el nombre de una cuenta:
4794 Se ha intentado establecer el modo de restauración de servicios de directorio.
5376 Se copia de las credenciales de administrador de credenciales.
5377 Las credenciales de administrador de credenciales se han restaurado desde una copia de seguridad.
Administración de cuentas de usuario eventID sucesos
4720 Se creó una cuenta de usuario.
4722 Se habilitó una cuenta de usuario.
4723 Se ha intentado cambiar la contraseña de una cuenta.
4724 Se intentó restablecer la contraseña de una cuenta.
4725 Se deshabilitó una cuenta de usuario.
4726 Se ha eliminado una cuenta de usuario.
4738 Se ha modificado una cuenta de usuario.
4740 Se ha bloqueado una cuenta de usuario.
4765 SID History se ha agregado a una cuenta.
4766 Error al intentar agregar SID History a una cuenta.
4767 Una cuenta de usuario se ha desbloqueado.
4780 Se ha establecido la ACL en las cuentas que son miembros de grupos de administradores.
4781 Se cambió el nombre de una cuenta:
4794 Se ha intentado establecer el modo de restauración de servicios de directorio.
5376 Se copia de las credenciales de administrador de credenciales.
5377 Las credenciales de administrador de credenciales se han restaurado desde una copia de seguridad.
