Вопросы к Поиску с Алисой

Примеры ответов Поиска с Алисой
Главная / Технологии / Как работает аудит событий смены паролей в Windows Server?
Вопрос для Поиска с Алисой
5 июня
#Аудит#СменаПаролей#WindowsServer#БезопасностьДанных#IT#Технологии

Как работает аудит событий смены паролей в Windows Server?

Алиса
На основе источников, возможны неточности
Как это работает?

Аудит событий смены паролей в Windows Server позволяет фиксировать попытки изменения пароля и определять, кто их совершил. softcomputers.org winitpro.ru

Процесс начинается с включения аудита управления учётными записями: softcomputers.org winitpro.ru

  1. Открыть консоль управления групповыми политиками (gpmc.msc). winitpro.ru
  2. Найти и отредактировать политику Default Domain Policy. softcomputers.org winitpro.ru
  3. Перейти в раздел «Конфигурация компьютера» → «Политики» → «Параметры Windows» → «Параметры безопасности» → «Локальные политики» → «Политика аудита». softcomputers.org
  4. Включить политику «Аудит управления учётными записями» (Audit User Account Management). softcomputers.org winitpro.ru Если нужно фиксировать в журнале как успешные, так и неудачные попытки смены пароля, выбрать опции «Успех» (Success) и «Неудача» (Failure). softcomputers.org winitpro.ru
  5. Альтернативно настроить аудит в расширенной конфигурации: «Конфигурация компьютера» → «Политики» → «Параметры Windows» → «Параметры безопасности» → «Расширенная конфигурация аудита» → «Управление учётными записями». softcomputers.org
  6. Применить политику и дождаться обновления на клиентах (или выполнить gpupdate /force). softcomputers.org

После включения аудита события сброса пароля фиксируются в журнале безопасности контроллера домена. softcomputers.org

Для поиска событий нужно: softcomputers.org

  1. Открыть «Просмотр событий» (eventvwr) на контроллере домена. softcomputers.org
  2. Перейти в «Журналы Windows» → «Безопасность». softcomputers.org
  3. Щёлкнуть правой кнопкой мыши по журналу и выбрать «Фильтр текущего журнала». softcomputers.org
  4. В поле «Идентификатор события» указать 4724 (событие: An attempt was made to reset an account’s password). softcomputers.org
  5. Применить фильтр. softcomputers.org

В отфильтрованных событиях отобразятся записи о сбросе пароля: softcomputers.org

  • Subject — учётная запись администратора, выполнившего сброс. softcomputers.org
  • Target Account — учётная запись пользователя, чей пароль был сброшен. softcomputers.org

Для автоматизации поиска событий сброса пароля на всех контроллерах домена можно использовать PowerShell. softcomputers.org

Найти в Поиске
Примеры полезных ответов Поиска с Алисой на вопросы из разных сфер. Вопросы сгенерированы нейросетью YandexGPT для актуальных тем, которые определяются на базе обобщённых запросов к Поиску с Алисой.
Пожаловаться на контент
© 2025 ООО «Яндекс»
Пользовательское соглашение
Связаться с нами
Задать новый вопрос
Как это работает?
Задайте вопрос...
…и сразу получите ответ в Поиске с Алисой
Войдите, чтобы поставить лайк
С Яндекс ID это займёт пару секунд
Войти
Tue Aug 26 2025 09:00:20 GMT+0300 (Moscow Standard Time)