none
域管理员密码突然被修改 RRS feed

  • 问题

  • 今天早上发现域管理员(Administrator)密码错误,换了个Domain Admin组的用户将密码重置回来后,登陆事件查看器看审核日志,发现竟然是SYSTEM修改了密码,太奇怪了,下面是事件查看器复制的:

    日志名称:          Security
    来源:            Microsoft-Windows-Security-Auditing
    日期:            2014/6/11 16:40:42
    事件 ID:         4724
    任务类别:          用户帐户管理
    级别:            信息
    关键字:           审核成功
    用户:            暂缺
    计算机:           DC2.allscore.com
    描述:
    试图重置帐户密码。

    主题:
     安全 ID:  SYSTEM
     帐户名:  DC2$
     帐户域:  ALLSCORE
     登录 ID:  0x3e7

    目标帐户:
     安全 ID:  ALLSCORE\administrator
     帐户名:  Administrator
     帐户域:  ALLSCORE
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
        <EventID>4724</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>13824</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8020000000000000</Keywords>
        <TimeCreated SystemTime="2014-06-11T08:40:42.962509700Z" />
        <EventRecordID>929369</EventRecordID>
        <Correlation />
        <Execution ProcessID="512" ThreadID="2356" />
        <Channel>Security</Channel>
        <Computer>DC2.allscore.com</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="TargetUserName">Administrator</Data>
        <Data Name="TargetDomainName">ALLSCORE</Data>
        <Data Name="TargetSid">S-1-5-21-2315427783-1402615187-2413691209-500</Data>
        <Data Name="SubjectUserSid">S-1-5-18</Data>
        <Data Name="SubjectUserName">DC2$</Data>
        <Data Name="SubjectDomainName">ALLSCORE</Data>
        <Data Name="SubjectLogonId">0x3e7</Data>
      </EventData>
    </Event>

     
    2014年6月12日 3:18

全部回复