none
Senha Administrador AD Alterada RRS feed

  • Pergunta

  • Boa tarde pessoal.

    A respeito eu estou em um projeto de reestrutura da infra da empresa e uma das coisas que eu fiz foi alterar a senha do administrador de dominio, porém no dia seguinte a senha tinha voltada para a anterior, procurei feito louco no event viwer e não localizei um evento de alteração de senha do administrador, gostaria de saber com vocês como eu faço para saber qual foi o usuario que alterou a senha de administrador podem me ajudar por favor.

    quarta-feira, 27 de novembro de 2013 17:46

Respostas

  • Boa tarde Fernando!

    Conforme indicam as respostas da thread abaixo, será difícil descobrir essa informação se você não estava com auditoria do AD habilitada:

     http://social.technet.microsoft.com/Forums/windowsserver/en-US/3532718c-0670-412e-9e06-42b59bf198f4/how-to-find-who-changed-the-password-of-a-user-account-in-active-directory


    Luiz Felipe S. T. Costa

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    TechNet Community Support

    quarta-feira, 27 de novembro de 2013 17:51
  • Procure todos os events 627 e 628, se houve alteração de senha (com auditoria habilitada) é para aparecer algo aqui.

    Caso por algum motivo não apareça seria interessante você partir pra uma "investigação" externa, use o comando NET USER "loginid" | find /i "password  last set" para tentar descobrir exatamente quando a senha foi alterada e determinar quem presente naquele horário teria permissão para fazer esta alteração.


    Luiz Felipe S. T. Costa

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    TechNet Community Support

    quarta-feira, 27 de novembro de 2013 18:27
  • Opa Fernando, posso ter digitado errado alí, tirei um print do comando, da uma olhada pra confirmar se ta digitado certinho:


    Luiz Felipe S. T. Costa

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    TechNet Community Support

    quarta-feira, 27 de novembro de 2013 18:58

Todas as Respostas

  • Boa tarde Fernando!

    Conforme indicam as respostas da thread abaixo, será difícil descobrir essa informação se você não estava com auditoria do AD habilitada:

     http://social.technet.microsoft.com/Forums/windowsserver/en-US/3532718c-0670-412e-9e06-42b59bf198f4/how-to-find-who-changed-the-password-of-a-user-account-in-active-directory


    Luiz Felipe S. T. Costa

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    TechNet Community Support

    quarta-feira, 27 de novembro de 2013 17:51
  • Fernando, como o Luiz falou, a auditoria tinha que estar ativada antes...

    Abraço,


    Edinaldo Oliveira

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    ** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

    quarta-feira, 27 de novembro de 2013 17:52
  • Boa tarde Fernando!

    Conforme indicam as respostas da thread abaixo, será difícil descobrir essa informação se você não estava com auditoria do AD habilitada:

     http://social.technet.microsoft.com/Forums/windowsserver/en-US/3532718c-0670-412e-9e06-42b59bf198f4/how-to-find-who-changed-the-password-of-a-user-account-in-active-directory


    Luiz Felipe S. T. Costa

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    TechNet Community Support

    Certo já está configurado a auditoria, mais no event viwer não localizo essa alteração de senha
    quarta-feira, 27 de novembro de 2013 18:01
  • Porque a ativação da auditoria foi posterior à troca da senha...ele só audita a partir da ativação...

    Edinaldo Oliveira

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    ** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

    quarta-feira, 27 de novembro de 2013 18:04
  • Porque a ativação da auditoria foi posterior à troca da senha...ele só audita a partir da ativação...

    Edinaldo Oliveira

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    ** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

    Opa Edinaldo obrigado pela respsota mais a auditoria foi feita muito antes dessa alteração de senha
    quarta-feira, 27 de novembro de 2013 18:12
  • Tanto que de outros usuarios eu consigo ver no event viwer quando eles alterão a senha somente do administrador não estou conseguindo ver
    quarta-feira, 27 de novembro de 2013 18:14
  • Procure todos os events 627 e 628, se houve alteração de senha (com auditoria habilitada) é para aparecer algo aqui.

    Caso por algum motivo não apareça seria interessante você partir pra uma "investigação" externa, use o comando NET USER "loginid" | find /i "password  last set" para tentar descobrir exatamente quando a senha foi alterada e determinar quem presente naquele horário teria permissão para fazer esta alteração.


    Luiz Felipe S. T. Costa

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    TechNet Community Support

    quarta-feira, 27 de novembro de 2013 18:27
  • Procure todos os events 627 e 628, se houve alteração de senha (com auditoria habilitada) é para aparecer algo aqui.

    Caso por algum motivo não apareça seria interessante você partir pra uma "investigação" externa, use o comando NET USER "loginid" | find /i "password  last set" para tentar descobrir exatamente quando a senha foi alterada e determinar quem presente naquele horário teria permissão para fazer esta alteração.


    Luiz Felipe S. T. Costa

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    TechNet Community Support

    Obrigado pela resposta Luiz porém apartir do | find ele diz que o parametro esta incorreto está escrita de forma correta esse comando?
    quarta-feira, 27 de novembro de 2013 18:48
  • Opa Fernando, posso ter digitado errado alí, tirei um print do comando, da uma olhada pra confirmar se ta digitado certinho:


    Luiz Felipe S. T. Costa

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    TechNet Community Support

    quarta-feira, 27 de novembro de 2013 18:58
  • Opa Fernando, posso ter digitado errado alí, tirei um print do comando, da uma olhada pra confirmar se ta digitado certinho:


    Luiz Felipe S. T. Costa

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    TechNet Community Support

    Opa Obrigado pela ajuda Luiz com isso eu consigo saber o dia e horario da alteração porém ter a certeza de qual usuario que alterou infelizmente eu não tenho pois no horario que ela foi alterada eu tenho aqui 4 tecnicos com acesso administrativo dentro do servidor.
    quarta-feira, 27 de novembro de 2013 19:45
  • Fernando,

    Favor marcar como respondido, para que outros usuários com o mesmo problema encontrem facilmente a solução.

    Grato,


    Edinaldo Oliveira

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    ** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

    quinta-feira, 28 de novembro de 2013 00:36
  • Fernando,

    No Windows 2012 você pode tentar verificar os eventos 4738 (não lembro se vale para o 2008 também, acredito que sim)

    Log Name:      Security
    Source:        Microsoft-Windows-Security-Auditing
    Date:          02/12/2013 11:24:57
    Event ID:      4738  <<< EVENTO >>>
    Task Category: User Account Management
    Level:         Information
    Keywords:      Audit Success
    User:          N/A
    Computer:      SVDC01.lab.local
    Description:
    A user account was changed.
    
    Subject:
    	Security ID:		LAB\fabiojr <<< QUEM ALTEROU >>>
    	Account Name:		fabiojr
    	Account Domain:		LAB
    	Logon ID:		0x3259E8
    
    Target Account:
    	Security ID:		LAB\Administrator << CONTA ALTERADA >>
    	Account Name:		Administrator
    	Account Domain:		LAB
    
    Changed Attributes:
    	SAM Account Name:	-
    	Display Name:		-
    	User Principal Name:	-
    	Home Directory:		-
    	Home Drive:		-
    	Script Path:		-
    	Profile Path:		-
    	User Workstations:	-
    	Password Last Set:	02/12/2013 11:24:57 <<ALTERAÇÃO>>
    	Account Expires:		-
    	Primary Group ID:	-
    	AllowedToDelegateTo:	-
    	Old UAC Value:		-
    	New UAC Value:		-
    	User Account Control:	-
    	User Parameters:	-
    	SID History:		-
    	Logon Hours:		-
    
    Additional Information:
    	Privileges:		-
    

    Ref.:

    4738: A user account was changed

    http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4738


    Fábio de Paula Junior

    segunda-feira, 2 de dezembro de 2013 13:31