Remove From My Forums

Senha Administrador AD Alterada

Pergunta
0

Entrar para Votar

Boa tarde pessoal.

A respeito eu estou em um projeto de reestrutura da infra da empresa e uma das coisas que eu fiz foi alterar a senha do administrador de dominio, porém no dia seguinte a senha tinha voltada para a anterior, procurei feito louco no event viwer e não localizei um evento de alteração de senha do administrador, gostaria de saber com vocês como eu faço para saber qual foi o usuario que alterou a senha de administrador podem me ajudar por favor.

quarta-feira, 27 de novembro de 2013 17:46

Respostas

0

Entrar para Votar
Boa tarde Fernando!

Conforme indicam as respostas da thread abaixo, será difícil descobrir essa informação se você não estava com auditoria do AD habilitada:

http://social.technet.microsoft.com/Forums/windowsserver/en-US/3532718c-0670-412e-9e06-42b59bf198f4/how-to-find-who-changed-the-password-of-a-user-account-in-active-directory
Luiz Felipe S. T. Costa

Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

TechNet Community Support
- Sugerido como Resposta Edinaldo Junior quarta-feira, 27 de novembro de 2013 17:52
- Marcado como Resposta Luiz Felipe S. T. Costa segunda-feira, 2 de dezembro de 2013 12:57
quarta-feira, 27 de novembro de 2013 17:51
0

Entrar para Votar
Procure todos os events 627 e 628, se houve alteração de senha (com auditoria habilitada) é para aparecer algo aqui.

Caso por algum motivo não apareça seria interessante você partir pra uma "investigação" externa, use o comando NET USER "loginid" | find /i "password last set" para tentar descobrir exatamente quando a senha foi alterada e determinar quem presente naquele horário teria permissão para fazer esta alteração.

Luiz Felipe S. T. Costa

Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

TechNet Community Support
- Sugerido como Resposta Edinaldo Junior quarta-feira, 27 de novembro de 2013 19:47
- Marcado como Resposta Luiz Felipe S. T. Costa segunda-feira, 2 de dezembro de 2013 12:57
quarta-feira, 27 de novembro de 2013 18:27
0

Entrar para Votar
Opa Fernando, posso ter digitado errado alí, tirei um print do comando, da uma olhada pra confirmar se ta digitado certinho:

Luiz Felipe S. T. Costa

Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

TechNet Community Support
- Sugerido como Resposta Leandro Ruwer quarta-feira, 27 de novembro de 2013 19:26
- Marcado como Resposta Luiz Felipe S. T. Costa segunda-feira, 2 de dezembro de 2013 12:57
quarta-feira, 27 de novembro de 2013 18:58

Todas as Respostas

0

Entrar para Votar
Boa tarde Fernando!

Conforme indicam as respostas da thread abaixo, será difícil descobrir essa informação se você não estava com auditoria do AD habilitada:

http://social.technet.microsoft.com/Forums/windowsserver/en-US/3532718c-0670-412e-9e06-42b59bf198f4/how-to-find-who-changed-the-password-of-a-user-account-in-active-directory
Luiz Felipe S. T. Costa

Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

TechNet Community Support
- Sugerido como Resposta Edinaldo Junior quarta-feira, 27 de novembro de 2013 17:52
- Marcado como Resposta Luiz Felipe S. T. Costa segunda-feira, 2 de dezembro de 2013 12:57
quarta-feira, 27 de novembro de 2013 17:51
0

Entrar para Votar

Fernando, como o Luiz falou, a auditoria tinha que estar ativada antes...

Abraço,
Edinaldo Oliveira
Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.
** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

quarta-feira, 27 de novembro de 2013 17:52
0

Entrar para Votar

Boa tarde Fernando!

Conforme indicam as respostas da thread abaixo, será difícil descobrir essa informação se você não estava com auditoria do AD habilitada:

http://social.technet.microsoft.com/Forums/windowsserver/en-US/3532718c-0670-412e-9e06-42b59bf198f4/how-to-find-who-changed-the-password-of-a-user-account-in-active-directory

Luiz Felipe S. T. Costa

Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

TechNet Community Support

Certo já está configurado a auditoria, mais no event viwer não localizo essa alteração de senha

quarta-feira, 27 de novembro de 2013 18:01
0

Entrar para Votar

Porque a ativação da auditoria foi posterior à troca da senha...ele só audita a partir da ativação...
Edinaldo Oliveira
Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.
** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

quarta-feira, 27 de novembro de 2013 18:04
0

Entrar para Votar

Porque a ativação da auditoria foi posterior à troca da senha...ele só audita a partir da ativação...

Edinaldo Oliveira

Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.
** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

Opa Edinaldo obrigado pela respsota mais a auditoria foi feita muito antes dessa alteração de senha

quarta-feira, 27 de novembro de 2013 18:12
0

Entrar para Votar

Tanto que de outros usuarios eu consigo ver no event viwer quando eles alterão a senha somente do administrador não estou conseguindo ver

quarta-feira, 27 de novembro de 2013 18:14
0

Entrar para Votar
Procure todos os events 627 e 628, se houve alteração de senha (com auditoria habilitada) é para aparecer algo aqui.

Caso por algum motivo não apareça seria interessante você partir pra uma "investigação" externa, use o comando NET USER "loginid" | find /i "password last set" para tentar descobrir exatamente quando a senha foi alterada e determinar quem presente naquele horário teria permissão para fazer esta alteração.

Luiz Felipe S. T. Costa

Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

TechNet Community Support
- Sugerido como Resposta Edinaldo Junior quarta-feira, 27 de novembro de 2013 19:47
- Marcado como Resposta Luiz Felipe S. T. Costa segunda-feira, 2 de dezembro de 2013 12:57
quarta-feira, 27 de novembro de 2013 18:27
0

Entrar para Votar

Procure todos os events 627 e 628, se houve alteração de senha (com auditoria habilitada) é para aparecer algo aqui.

Caso por algum motivo não apareça seria interessante você partir pra uma "investigação" externa, use o comando NET USER "loginid" | find /i "password last set" para tentar descobrir exatamente quando a senha foi alterada e determinar quem presente naquele horário teria permissão para fazer esta alteração.

Luiz Felipe S. T. Costa

Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

TechNet Community Support

Obrigado pela resposta Luiz porém apartir do | find ele diz que o parametro esta incorreto está escrita de forma correta esse comando?

quarta-feira, 27 de novembro de 2013 18:48
0

Entrar para Votar
Opa Fernando, posso ter digitado errado alí, tirei um print do comando, da uma olhada pra confirmar se ta digitado certinho:

Luiz Felipe S. T. Costa

Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

TechNet Community Support
- Sugerido como Resposta Leandro Ruwer quarta-feira, 27 de novembro de 2013 19:26
- Marcado como Resposta Luiz Felipe S. T. Costa segunda-feira, 2 de dezembro de 2013 12:57
quarta-feira, 27 de novembro de 2013 18:58
0

Entrar para Votar

Opa Fernando, posso ter digitado errado alí, tirei um print do comando, da uma olhada pra confirmar se ta digitado certinho:

Luiz Felipe S. T. Costa

Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

TechNet Community Support

Opa Obrigado pela ajuda Luiz com isso eu consigo saber o dia e horario da alteração porém ter a certeza de qual usuario que alterou infelizmente eu não tenho pois no horario que ela foi alterada eu tenho aqui 4 tecnicos com acesso administrativo dentro do servidor.

quarta-feira, 27 de novembro de 2013 19:45
0

Entrar para Votar

Fernando,

Favor marcar como respondido, para que outros usuários com o mesmo problema encontrem facilmente a solução.

Grato,
Edinaldo Oliveira
Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.
** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

quinta-feira, 28 de novembro de 2013 00:36

Entrar para Votar

Fernando,

No Windows 2012 você pode tentar verificar os eventos 4738 (não lembro se vale para o 2008 também, acredito que sim)

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          02/12/2013 11:24:57
Event ID:      4738  <<< EVENTO >>>
Task Category: User Account Management
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      SVDC01.lab.local
Description:
A user account was changed.

Subject:
	Security ID:		LAB\fabiojr <<< QUEM ALTEROU >>>
	Account Name:		fabiojr
	Account Domain:		LAB
	Logon ID:		0x3259E8

Target Account:
	Security ID:		LAB\Administrator << CONTA ALTERADA >>
	Account Name:		Administrator
	Account Domain:		LAB

Changed Attributes:
	SAM Account Name:	-
	Display Name:		-
	User Principal Name:	-
	Home Directory:		-
	Home Drive:		-
	Script Path:		-
	Profile Path:		-
	User Workstations:	-
	Password Last Set:	02/12/2013 11:24:57 <<ALTERAÇÃO>>
	Account Expires:		-
	Primary Group ID:	-
	AllowedToDelegateTo:	-
	Old UAC Value:		-
	New UAC Value:		-
	User Account Control:	-
	User Parameters:	-
	SID History:		-
	Logon Hours:		-

Additional Information:
	Privileges:		-

Ref.:

4738: A user account was changed

http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4738

Fábio de Paula Junior

segunda-feira, 2 de dezembro de 2013 13:31

Produtos

Resources

Solutions

Atualizações

Avaliações

Sites relacionados

Treinamento

Certificações

Outros recursos

Por produtos

Outros links

Não é um IT Pro?

Usuário com melhor resposta

Senha Administrador AD Alterada

Pergunta

Respostas

Todas as Respostas