Согласно документации Microsoft, событие с идентификатором 4723 генерируется, когда пользователь изменяет свой пароль с помощью защищенного диалогового окна с последовательностью клавиш CTRL-ALT-DELETE.
Однако при тестировании в лаборатории вместо этого генерируется идентификатор события 4724. Идентификатор события 4724 должен генерироваться, когда администратор выполняетперезагрузитьпароля учетной записи без предоставления текущего пароля.
Кто-нибудь знает причину?
https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4723 https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4724
решение1
Правильный способ для конечного пользователя изменить свой пароль — использовать Secure Attention Sequence (SAS), CTRL-ALT-DELETE. При появлении диалогового окна безопасности выберите Change Password. Это запросит у пользователя его старый и новый пароли. Другие процессы выполняют административный сброс пароля и не приводят к желаемому результату или записям событий.