Windows サービス コントロール - サービス アカウントのパスワードを変更したユーザーを特定するにはどうすればよいでしょうか?
答え1
誰がパスワードを変更したかを知るにはどうすればいいですか?
4723: アカウントのパスワードを変更しようとしました、および 4724: アカウントのパスワードをリセットしようとしましたを探します
4723: アカウントのパスワードを変更しようとしました
ユーザーは自分のパスワードを変更しようとしました。件名とターゲットは常に一致する必要があります。このイベントを 4724 と混同しないでください。
新しいパスワードがパスワード ポリシーを満たしていない場合、このイベントは失敗として記録されます。
ユーザーが古いパスワードを正しく入力しなかった場合、このイベントは記録されません。代わりに、ドメイン アカウントの場合は、サービス名として kadmin/changepw で 4771 が記録されます。
このイベントは、ローカル SAM アカウントとドメイン アカウントの両方に対して記録されます。
同じ情報を通知するイベント ID 4738 も表示されます。
主題:
アクションを実行したユーザーとログオン セッション。
- セキュリティ ID: アカウントの SID。
- アカウント名: アカウントのログオン名。
- アカウント ドメイン: ドメイン、またはローカル アカウントの場合はコンピューター名。
- ログオン ID は、ログオン セッションを識別する半一意の (再起動間で一意の) 番号です。ログオン ID を使用すると、ログオン イベント (4624) や、同じログオン セッション中に記録された他のイベントと後方相関させることができます。
イベントのカテゴリとサブカテゴリの完全なリストについては、以下のソース リンクを参照してください。
ソース4723: アカウントのパスワードを変更しようとしました
4724: アカウントのパスワードをリセットしようとしました
対象者は対象のパスワードをリセットしようとしました:
このイベントを 4723 と混同しないでください。
新しいパスワードがパスワード ポリシーを満たしていない場合、このイベントは失敗として記録されます。
このイベントは、ローカル SAM アカウントとドメイン アカウントの両方に対して記録されます。
同じ情報を通知する 1 つ以上のイベント ID 4738 も表示されます。
主題:
アクションを実行したユーザーとログオン セッション。
- セキュリティ ID: アカウントの SID。
- アカウント名: アカウントのログオン名。
- アカウント ドメイン: ドメイン、またはローカル アカウントの場合はコンピューター名。
- ログオン ID は、ログオン セッションを識別する半一意の (再起動間で一意の) 番号です。ログオン ID を使用すると、ログオン イベント (4624) や、同じログオン セッション中に記録された他のイベントと後方相関させることができます。
イベントのカテゴリとサブカテゴリの完全なリストについては、以下のソース リンクを参照してください。
ソース4724: アカウントのパスワードをリセットしようとしました