Martin0708 10 Geschrieben 24. September 2013 Melden Geschrieben 24. September 2013 Hallo Leute! Ist es möglich die Passwortänderung eines Users nachzuverfolgen? Also der User ändert das Passwort nicht selbst - sondern über Active-Directory setzt ein anderer User dessen Passwort zurück. Ich kann auslesen wann das Passwort zurückgesetzt wurde, aber nicht von wem. Habt Ihr da eine Idee??? Umgebung ist eine Windows Server 2012 Active-Directory! DANKE!!! lg Martin
lefg 276 Geschrieben 24. September 2013 Melden Geschrieben 24. September 2013 (bearbeitet) ......Also der User ändert das Passwort nicht selbst - sondern über Active-Directory setzt ein anderer User dessen Passwort zurück....... Wie soll das möglich sein? bearbeitet 24. September 2013 von lefg
Martin0708 10 Geschrieben 24. September 2013 Autor Melden Geschrieben 24. September 2013 keine Ahnung - finde keine Delegierung für einen User oder einen unbekannten Domain-Admin. Fakt ist, dass das Passwort des Domain-Administrators immer wieder zurück gesetzt wird. Und ich glaube dass es da im internen Netz einen bösen Menschen gibt der dies macht. Und diesen möchte ich finden...
4077 30 Geschrieben 24. September 2013 Melden Geschrieben 24. September 2013 Vermutlich geht das am einfachsten über Auditing. Das würde ich eine eigene OU erstellen, Auditing aktivieren, den Domänen-Administrator dorthin verschieben, Passwort ändern und abwarten.
Martin0708 10 Geschrieben 24. September 2013 Autor Melden Geschrieben 24. September 2013 Vermutlich geht das am einfachsten über Auditing. Das würde ich eine eigene OU erstellen, Auditing aktivieren, den Domänen-Administrator dorthin verschieben, Passwort ändern und abwarten. Auditing hab ich jetzt aktiviert. Hoffe ich sehe dann auch welcher User das Passwort zurück gesetzt hat. - DANKE! Hat noch jemand eine Idee wie ich im Nachhinein herausfinden kann wer oder was das Passwort zurückgesetzt hat?
NorbertFe 2.283 Geschrieben 24. September 2013 Melden Geschrieben 24. September 2013 Wie willst du im Nachhinein was rausfinden, was du nicht geloggt hast?
Martin0708 10 Geschrieben 14. Oktober 2013 Autor Melden Geschrieben 14. Oktober 2013 Hallo Leute! Hat ein bisschen gedauert aber jetzt hab ich was im Eventlog mit dem ich aber auch nix anfangen kann - vielleicht sagt euch das was. Habe rausgefunden wann das Passwort des Domänen-Admin´s´geändert wird. Das Tool LUMAX ist da sehr hilfreich... ;-) Zu dieser Zeit steht im Security-Eventlog die ID 4724 gefolgt von 4738 mit diesem Inhalt: An attempt was made to reset an account's password. Subject: Security ID: SYSTEM Account Name: SRVDC01$ Account Domain: DOMÄNENNAMEN Logon ID: 0x3E7 Target Account: Security ID: DOMÄNENNAMEN\Administrator Account Name: Administrator Account Domain: DOMÄNENNAMEN wobei SRVDC01 einer der beiden Domaincontroller ist. wenn ich selbst das Passwort des Administrators ändere, steht bei Security-ID der User drinnen mit dem ich das Passwort ändere. Wie kommt der DC drauf das Passwort zu ändern? Wie geht das überhaupt? Was kann ich dagegen tun??? DANKE für Eure Hilfe!!!! lg Martin
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden