Windows-Dienststeuerung – Wie kann ermittelt werden, wer das Kennwort für das Dienstkonto geändert hat?

Question

Wie finde ich heraus, wer ein Passwort geändert hat?

Suchen Sie nach 4723: Es wurde versucht, das Kennwort eines Kontos zu ändern und 4724: Es wurde versucht, das Kennwort eines Kontos zurückzusetzen

4723: Es wurde versucht, das Passwort eines Kontos zu ändern

Der Benutzer hat versucht, sein eigenes Passwort zu ändern. Betreff und Ziel müssen immer übereinstimmen. Verwechseln Sie dieses Ereignis nicht mit 4724.

Dieses Ereignis wird als Fehler protokolliert, wenn sein neues Kennwort nicht der Kennwortrichtlinie entspricht.

Wenn der Benutzer sein altes Passwort nicht korrekt eingibt, wird dieses Ereignis nicht protokolliert. Stattdessen wird für Domänenkonten eine 4771 mit kadmin/changepw als Dienstnamen protokolliert.

Dieses Ereignis wird sowohl für lokale SAM-Konten als auch für Domänenkonten protokolliert.

Außerdem wird Ihnen die Ereignis-ID 4738 angezeigt, die Sie über dieselben Informationen informiert.

Thema:

Der Benutzer und die Anmeldesitzung, die die Aktion ausgeführt haben.

Sicherheits-ID: Die SID des Kontos.

Kontoname: Der Anmeldename des Kontos.

Kontodomäne: Die Domäne oder – im Fall von lokalen Konten – der Computername.

Die Anmelde-ID ist eine halb eindeutige (zwischen Neustarts eindeutige) Nummer, die die Anmeldesitzung identifiziert. Die Anmelde-ID ermöglicht eine Rückbeziehung zum Anmeldeereignis (4624) sowie zu anderen Ereignissen, die während derselben Anmeldesitzung protokolliert wurden.

Eine vollständige Liste der Kategorien und Unterkategorien der Veranstaltung finden Sie unter dem Quellenlink unten.

Quelle4723: Es wurde versucht, das Passwort eines Kontos zu ändern

4724: Es wurde versucht, das Kennwort eines Kontos zurückzusetzen.

Der Betreff hat versucht, das Passwort des Ziels zurückzusetzen:

Verwechseln Sie dieses Ereignis nicht mit 4723.

Dieses Ereignis wird als Fehler protokolliert, wenn das neue Kennwort nicht der Kennwortrichtlinie entspricht.

Dieses Ereignis wird sowohl für lokale SAM-Konten als auch für Domänenkonten protokolliert.

Sie sehen außerdem eine oder mehrere Ereignis-IDs 4738, die Sie über dieselben Informationen informieren.

Thema:

Der Benutzer und die Anmeldesitzung, die die Aktion ausgeführt haben.

Sicherheits-ID: Die SID des Kontos.

Kontoname: Der Anmeldename des Kontos.

Kontodomäne: Die Domäne oder – im Fall von lokalen Konten – der Computername.

Die Anmelde-ID ist eine halb eindeutige (zwischen Neustarts eindeutige) Nummer, die die Anmeldesitzung identifiziert. Die Anmelde-ID ermöglicht eine Rückbeziehung zum Anmeldeereignis (4624) sowie zu anderen Ereignissen, die während derselben Anmeldesitzung protokolliert wurden.

Eine vollständige Liste der Kategorien und Unterkategorien der Veranstaltung finden Sie unter dem Quellenlink unten.

Quelle4724: Es wurde versucht, das Kennwort eines Kontos zurückzusetzen.

Weitere Informationen

Ereignisse im Windows-Sicherheitsprotokoll

Answer 1

Wie finde ich heraus, wer ein Passwort geändert hat?

Suchen Sie nach 4723: Es wurde versucht, das Kennwort eines Kontos zu ändern und 4724: Es wurde versucht, das Kennwort eines Kontos zurückzusetzen

4723: Es wurde versucht, das Passwort eines Kontos zu ändern

Der Benutzer hat versucht, sein eigenes Passwort zu ändern. Betreff und Ziel müssen immer übereinstimmen. Verwechseln Sie dieses Ereignis nicht mit 4724.

Dieses Ereignis wird als Fehler protokolliert, wenn sein neues Kennwort nicht der Kennwortrichtlinie entspricht.

Wenn der Benutzer sein altes Passwort nicht korrekt eingibt, wird dieses Ereignis nicht protokolliert. Stattdessen wird für Domänenkonten eine 4771 mit kadmin/changepw als Dienstnamen protokolliert.

Dieses Ereignis wird sowohl für lokale SAM-Konten als auch für Domänenkonten protokolliert.

Außerdem wird Ihnen die Ereignis-ID 4738 angezeigt, die Sie über dieselben Informationen informiert.

Thema:

Der Benutzer und die Anmeldesitzung, die die Aktion ausgeführt haben.

Sicherheits-ID: Die SID des Kontos.

Kontoname: Der Anmeldename des Kontos.

Kontodomäne: Die Domäne oder – im Fall von lokalen Konten – der Computername.

Die Anmelde-ID ist eine halb eindeutige (zwischen Neustarts eindeutige) Nummer, die die Anmeldesitzung identifiziert. Die Anmelde-ID ermöglicht eine Rückbeziehung zum Anmeldeereignis (4624) sowie zu anderen Ereignissen, die während derselben Anmeldesitzung protokolliert wurden.

Eine vollständige Liste der Kategorien und Unterkategorien der Veranstaltung finden Sie unter dem Quellenlink unten.

Quelle4723: Es wurde versucht, das Passwort eines Kontos zu ändern

4724: Es wurde versucht, das Kennwort eines Kontos zurückzusetzen.

Der Betreff hat versucht, das Passwort des Ziels zurückzusetzen:

Verwechseln Sie dieses Ereignis nicht mit 4723.

Dieses Ereignis wird als Fehler protokolliert, wenn das neue Kennwort nicht der Kennwortrichtlinie entspricht.

Dieses Ereignis wird sowohl für lokale SAM-Konten als auch für Domänenkonten protokolliert.

Sie sehen außerdem eine oder mehrere Ereignis-IDs 4738, die Sie über dieselben Informationen informieren.

Thema:

Der Benutzer und die Anmeldesitzung, die die Aktion ausgeführt haben.

Sicherheits-ID: Die SID des Kontos.

Kontoname: Der Anmeldename des Kontos.

Kontodomäne: Die Domäne oder – im Fall von lokalen Konten – der Computername.

Die Anmelde-ID ist eine halb eindeutige (zwischen Neustarts eindeutige) Nummer, die die Anmeldesitzung identifiziert. Die Anmelde-ID ermöglicht eine Rückbeziehung zum Anmeldeereignis (4624) sowie zu anderen Ereignissen, die während derselben Anmeldesitzung protokolliert wurden.

Eine vollständige Liste der Kategorien und Unterkategorien der Veranstaltung finden Sie unter dem Quellenlink unten.

Quelle4724: Es wurde versucht, das Kennwort eines Kontos zurückzusetzen.

Weitere Informationen

Ereignisse im Windows-Sicherheitsprotokoll

Windows-Dienststeuerung – Wie kann ermittelt werden, wer das Kennwort für das Dienstkonto geändert hat?

Antwort1

Wie finde ich heraus, wer ein Passwort geändert hat?

Weitere Informationen

verwandte Informationen