Estou me encontrando em uma causa perdida, basicamente ao tentar acessar um dos servidores que gerenciei não consegui fazer o login, a senha estava incorreta ...
NÃO mudei essa senha e precisei usar uma conta de administrador local para redefinir a senha para fazer login novamente.
Os logs de eventos locais para "Segurança" não mostram nenhuma menção à alteração de senha ou à configuração de eventos - EVER. - Há mais de 233.000 logs, então acho que estou procurando no lugar errado.
No entanto, o comando Powershell: NET USER "loginid" | find /i "password last set" retornou a data e a hora de eu alterar alguns minutos antes.
Como posso ver uma lista completa de alterações de senha? Ou pelo menos o antes do meu?
Abra o Visualizador de Eventos e filtre essa ID de evento no log de segurança:
ID do Evento 628: conjunto de senhas da conta de usuário
Este evento indica que o usuário "chamador" redefiniu a senha do usuário "alvo". A redefinição de senha não requer conhecimento da senha atual. Veja o evento 627 para mudanças de senha pelo próprio usuário. Este evento também será acompanhado pelo evento 642 mostrando que o campo de data da última data de senha foi atualizado.
De acordo com Ultimate Windows Security , você deve procurar os seguintes eventos no Security log de eventos:
Qualquer um desses também acionará o evento 4738 Uma conta de usuário foi alterada.
Se a senha não atender aos requisitos de complexidade, o evento será registrado como uma falha de auditoria, em vez de um sucesso de auditoria.
Se o usuário não digitou a senha antiga corretamente, o evento acima não será registrado, no entanto, em um controlador de domínio, você receberá um evento 4771 devido à falha de pré-autenticação do Kerberos.