Control de servicios de Windows: ¿Cómo determinar quién cambió la contraseña en la cuenta de servicio?

Question

¿Cómo puedo saber quién cambió una contraseña?

Busque 4723: se intentó cambiar la contraseña de una cuenta y 4724: se intentó restablecer la contraseña de una cuenta

4723: Se intentó cambiar la contraseña de una cuenta

El usuario intentó cambiar su propia contraseña. Asunto y Objetivo siempre deben coincidir. No confunda este evento con 4724.

Este evento se registra como un error si su nueva contraseña no cumple con la política de contraseñas.

Si el usuario no ingresa correctamente su contraseña anterior, este evento no se registra. En cambio, para las cuentas de dominio, se registra un 4771 con kadmin/changepw como nombre del servicio.

Este evento se registra tanto para cuentas SAM locales como para cuentas de dominio.

También verá el ID de evento 4738 que le informa la misma información.

Sujeto:

El usuario y la sesión de inicio de sesión que realizó la acción.

ID de seguridad: el SID de la cuenta.

Nombre de cuenta: el nombre de inicio de sesión de la cuenta.

Dominio de la cuenta: el dominio o, en el caso de cuentas locales, el nombre de la computadora.

El ID de inicio de sesión es un número semiúnico (único entre reinicios) que identifica la sesión de inicio de sesión. El ID de inicio de sesión le permite realizar una correlación inversa con el evento de inicio de sesión (4624), así como con otros eventos registrados durante la misma sesión de inicio de sesión.

Consulte el enlace de origen a continuación para obtener una lista completa de categorías y subcategorías del evento.

Fuente4723: Se intentó cambiar la contraseña de una cuenta

4724: Se intentó restablecer la contraseña de una cuenta

El Sujeto intentó restablecer la contraseña del Objetivo:

No confunda este evento con 4723.

Este evento se registra como un error si la nueva contraseña no cumple con la política de contraseñas.

Este evento se registra tanto para cuentas SAM locales como para cuentas de dominio.

También verá uno o más ID de evento 4738 que le informarán la misma información.

Sujeto:

El usuario y la sesión de inicio de sesión que realizó la acción.

ID de seguridad: el SID de la cuenta.

Nombre de cuenta: el nombre de inicio de sesión de la cuenta.

Dominio de la cuenta: el dominio o, en el caso de cuentas locales, el nombre de la computadora.

El ID de inicio de sesión es un número semiúnico (único entre reinicios) que identifica la sesión de inicio de sesión. El ID de inicio de sesión le permite realizar una correlación inversa con el evento de inicio de sesión (4624), así como con otros eventos registrados durante la misma sesión de inicio de sesión.

Consulte el enlace de origen a continuación para obtener una lista completa de categorías y subcategorías del evento.

Fuente4724: Se intentó restablecer la contraseña de una cuenta

Otras lecturas

Eventos del registro de seguridad de Windows

Answer 1

¿Cómo puedo saber quién cambió una contraseña?

Busque 4723: se intentó cambiar la contraseña de una cuenta y 4724: se intentó restablecer la contraseña de una cuenta

4723: Se intentó cambiar la contraseña de una cuenta

El usuario intentó cambiar su propia contraseña. Asunto y Objetivo siempre deben coincidir. No confunda este evento con 4724.

Este evento se registra como un error si su nueva contraseña no cumple con la política de contraseñas.

Si el usuario no ingresa correctamente su contraseña anterior, este evento no se registra. En cambio, para las cuentas de dominio, se registra un 4771 con kadmin/changepw como nombre del servicio.

Este evento se registra tanto para cuentas SAM locales como para cuentas de dominio.

También verá el ID de evento 4738 que le informa la misma información.

Sujeto:

El usuario y la sesión de inicio de sesión que realizó la acción.

ID de seguridad: el SID de la cuenta.

Nombre de cuenta: el nombre de inicio de sesión de la cuenta.

Dominio de la cuenta: el dominio o, en el caso de cuentas locales, el nombre de la computadora.

El ID de inicio de sesión es un número semiúnico (único entre reinicios) que identifica la sesión de inicio de sesión. El ID de inicio de sesión le permite realizar una correlación inversa con el evento de inicio de sesión (4624), así como con otros eventos registrados durante la misma sesión de inicio de sesión.

Consulte el enlace de origen a continuación para obtener una lista completa de categorías y subcategorías del evento.

Fuente4723: Se intentó cambiar la contraseña de una cuenta

4724: Se intentó restablecer la contraseña de una cuenta

El Sujeto intentó restablecer la contraseña del Objetivo:

No confunda este evento con 4723.

Este evento se registra como un error si la nueva contraseña no cumple con la política de contraseñas.

Este evento se registra tanto para cuentas SAM locales como para cuentas de dominio.

También verá uno o más ID de evento 4738 que le informarán la misma información.

Sujeto:

El usuario y la sesión de inicio de sesión que realizó la acción.

ID de seguridad: el SID de la cuenta.

Nombre de cuenta: el nombre de inicio de sesión de la cuenta.

Dominio de la cuenta: el dominio o, en el caso de cuentas locales, el nombre de la computadora.

El ID de inicio de sesión es un número semiúnico (único entre reinicios) que identifica la sesión de inicio de sesión. El ID de inicio de sesión le permite realizar una correlación inversa con el evento de inicio de sesión (4624), así como con otros eventos registrados durante la misma sesión de inicio de sesión.

Consulte el enlace de origen a continuación para obtener una lista completa de categorías y subcategorías del evento.

Fuente4724: Se intentó restablecer la contraseña de una cuenta

Otras lecturas

Eventos del registro de seguridad de Windows

Control de servicios de Windows: ¿Cómo determinar quién cambió la contraseña en la cuenta de servicio?

Respuesta1

¿Cómo puedo saber quién cambió una contraseña?

Otras lecturas

información relacionada