Martin0708 10 Geschrieben 24. September 2013 Melden Teilen Geschrieben 24. September 2013 Hallo Leute! Ist es möglich die Passwortänderung eines Users nachzuverfolgen? Also der User ändert das Passwort nicht selbst - sondern über Active-Directory setzt ein anderer User dessen Passwort zurück. Ich kann auslesen wann das Passwort zurückgesetzt wurde, aber nicht von wem. Habt Ihr da eine Idee??? Umgebung ist eine Windows Server 2012 Active-Directory! DANKE!!! lg Martin Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 24. September 2013 Melden Teilen Geschrieben 24. September 2013 (bearbeitet) ......Also der User ändert das Passwort nicht selbst - sondern über Active-Directory setzt ein anderer User dessen Passwort zurück....... Wie soll das möglich sein? bearbeitet 24. September 2013 von lefg Zitieren Link zu diesem Kommentar
Martin0708 10 Geschrieben 24. September 2013 Autor Melden Teilen Geschrieben 24. September 2013 keine Ahnung - finde keine Delegierung für einen User oder einen unbekannten Domain-Admin. Fakt ist, dass das Passwort des Domain-Administrators immer wieder zurück gesetzt wird. Und ich glaube dass es da im internen Netz einen bösen Menschen gibt der dies macht. Und diesen möchte ich finden... Zitieren Link zu diesem Kommentar
4077 30 Geschrieben 24. September 2013 Melden Teilen Geschrieben 24. September 2013 Vermutlich geht das am einfachsten über Auditing. Das würde ich eine eigene OU erstellen, Auditing aktivieren, den Domänen-Administrator dorthin verschieben, Passwort ändern und abwarten. Zitieren Link zu diesem Kommentar
Martin0708 10 Geschrieben 24. September 2013 Autor Melden Teilen Geschrieben 24. September 2013 Vermutlich geht das am einfachsten über Auditing. Das würde ich eine eigene OU erstellen, Auditing aktivieren, den Domänen-Administrator dorthin verschieben, Passwort ändern und abwarten. Auditing hab ich jetzt aktiviert. Hoffe ich sehe dann auch welcher User das Passwort zurück gesetzt hat. - DANKE! Hat noch jemand eine Idee wie ich im Nachhinein herausfinden kann wer oder was das Passwort zurückgesetzt hat? Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 24. September 2013 Melden Teilen Geschrieben 24. September 2013 Wie willst du im Nachhinein was rausfinden, was du nicht geloggt hast? Zitieren Link zu diesem Kommentar
Martin0708 10 Geschrieben 14. Oktober 2013 Autor Melden Teilen Geschrieben 14. Oktober 2013 Hallo Leute! Hat ein bisschen gedauert aber jetzt hab ich was im Eventlog mit dem ich aber auch nix anfangen kann - vielleicht sagt euch das was. Habe rausgefunden wann das Passwort des Domänen-Admin´s´geändert wird. Das Tool LUMAX ist da sehr hilfreich... ;-) Zu dieser Zeit steht im Security-Eventlog die ID 4724 gefolgt von 4738 mit diesem Inhalt: An attempt was made to reset an account's password. Subject: Security ID: SYSTEM Account Name: SRVDC01$ Account Domain: DOMÄNENNAMEN Logon ID: 0x3E7 Target Account: Security ID: DOMÄNENNAMEN\Administrator Account Name: Administrator Account Domain: DOMÄNENNAMEN wobei SRVDC01 einer der beiden Domaincontroller ist. wenn ich selbst das Passwort des Administrators ändere, steht bei Security-ID der User drinnen mit dem ich das Passwort ändere. Wie kommt der DC drauf das Passwort zu ändern? Wie geht das überhaupt? Was kann ich dagegen tun??? DANKE für Eure Hilfe!!!! lg Martin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.