Habilite a auditoria avançada nos controladores de domínio para gerenciamento de contas: Auditoria de gerenciamento de contas de usuário
Observe que, se você ativar a auditoria avançada, não deverá usar a auditoria legada.
Aqui estão alguns dos eventos de interesse:
4723: Foi feita uma tentativa de alterar a senha de uma conta
link
O usuário tentou alterar sua própria senha. Assunto e alvo devem sempre corresponder. Não confunda esse evento com 4724.
Este evento é registrado como uma falha se sua nova senha não atender à política de senha.
Se o usuário não inserir corretamente a senha antiga, esse evento não será registrado. Em vez disso, para contas de domínio, um 4771 é registrado com kadmin / changepw como o nome do serviço.
Este evento é registrado tanto para contas SAM locais como para contas de domínio.
Você também verá a ID do evento 4738 informando sobre as mesmas informações.
4738: Uma conta de usuário foi alterada link
O usuário identificado por Assunto: alterou o usuário identificado por Conta de destino :.
Os atributos mostram algumas das propriedades que foram definidas no momento em que a conta foi alterada.
Este evento é registrado tanto para contas SAM locais como para contas de domínio.
Dependendo do que foi alterado, você poderá ver outros eventos de Gerenciamento de conta de usuário específicos de determinadas operações, como redefinições de senha.
4724: Foi feita uma tentativa de redefinir uma senha de conta
link
O assunto tentou redefinir a senha do alvo:
Não confunda este evento com 4723.
Este evento é registrado como uma falha se a nova senha não atender à política de senha.
Este evento é registrado tanto para contas SAM locais como para contas de domínio.
Você também verá um ou mais ID de evento 4738s informando sobre as mesmas informações.