Auditoría Active Directory: Saber quién reseteó password

En esta oportunidad voy a verificar mediante el visor de sucesos de un Controlador de dominio Windows Server 2008 R2, quién reseteó la contraseña de un determinado usuario.

En caso tengamos más de un AD, esta búsqueda se tiene que realizar en todos los AD , y de esta manera saber donde se produjo el cambio.

El proceso consiste en abrir el Visor de Eventos, desplegamos Windows Logs, Security.

En la parte derecha hacemos clic en Filter Current Log e ingresamos el ID del suceso 4724, como en la imagen y luego OK.

1

Nos muestra el suceso audit, en el cual se observa el usuario que realizó el reseteo de contraseña (Elipse color azul) y el usuario a quien se hizo el reseteo de contraseña (elipse rojo).

2

Esto nos ayuda a realizar una auditoría de las cuentas de usuario de nuestro AD.

 

Aquí dejo algunos otros eventos que nos pueden ayudar.

ID. Mensaje
4720 Se ha creado una cuenta de usuario.
4722 Se habilitó una cuenta de usuario.
4723 Se ha intentado cambiar la contraseña de cuenta.
4724 Se ha intentado restablecer la contraseña de cuenta.
4725 Se ha deshabilitado una cuenta de usuario.
4726 Se ha eliminado una cuenta de usuario.
4738 Se ha modificado una cuenta de usuario.
4740 Se ha bloqueado una cuenta de usuario.
4765 SID History se ha agregado a una cuenta.
4766 Error al intentar agregar SID History a una cuenta.
4767 Se ha desbloqueado una cuenta de usuario.
4780 La ACL se ha establecido en las cuentas que son miembros de grupos de administradores.
4781 Se cambió el nombre de una cuenta:
4794 Se ha intentado establecer el modo de restauración de servicios de directorio.
5376 Las credenciales de administrador de credenciales realizó la copia.
5377 Las credenciales de administrador de credenciales se restauran desde una copia de seguridad.

También pueden revisar el siguiente enlace donde encontrarán más información:

https://support.microsoft.com/es-es/kb/977519/es 

 

Anuncios

Acerca de eldeza

System Engineer, MVP Microsoft, CCNA, CCNA Security, MCSA Windows Server 2012, MCSA Office 365, Specialist Azure, ITIL Certification

Publicado el 10 de julio de 2014 en Windows Server 2008 R2. Añade a favoritos el enlace permanente. 6 comentarios.

  1. hola que tal, yo tengo habilitada las auditoria pero no se registra el cambio de contraseña estoy haciendo pruebas y no veo por ningun lado eso. agradezco el apoyo.

  2. ahora lo mas raro es que aparece, pero solo aparecen los cambios realizados por mi persona, pero si otro usuario con privilegios administrador cambia una contraseña no se registra, he hecho tantas cosas que ahora no se porque solamente registra los cambios efecutados por mi usuario.. ayuda!!! gracias por el apoyo.

  3. Buenas tardes Ing, tendras un script para listar la caducidad de Las contraseñas de los Usuarios de Un Dominio de Active Directory.
    mi correo es ALfredoz24@gmail.com

    Muchas Gracias de antemano coleguita

  4. netwrix auditor for active directory. Este software dentro de sus funciones esta avisar mediante correo electrónico cualquier cambio en cuentas de usuarios (eliminacion, bloqueos de clave, cambios de password, etc). Es pagado pero increiblemente bueno para empresas mayores a 200 usuarios.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: