Cómo identificar el usuario que ha cambiado la contraseña de administrador

Seleccione idioma Seleccione idioma
Id. de artículo: 173939 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Resumen

Habilitar la auditoría de administración de usuarios y grupos generará sucesos de auditoría cuando se modifican cuentas de usuario o grupo. Sin embargo, los eventos mostrará el identificador de seguridad (SID) en lugar del nombre de usuario del usuario que realizó el cambio.

Por motivos de seguridad, suele ser conveniente conocer el nombre de usuario del usuario que realizó el cambio. Esto puede realizarse mediante auditoría de cambios en la clave del registro correspondiente a la cuenta de administrador.

Más información

Este procedimiento debe realizarse en la consola del controlador de dominio principal. Este procedimiento no debería intentarse sobre una WAN debido del gran número de cambios de registro implicados.

AVISO: Utilizar el Editor del Registro incorrectamente puede provocar problemas graves en todo el sistema que le obliguen a reinstalar Windows NT para corregirlos. Microsoft no puede garantizar la solución de los problemas resultantes del uso del Editor del Registro. Utilice esta herramienta bajo su responsabilidad.

  1. Abra Administrador de usuarios para dominios y seleccione la auditoría en el menú directivas.
  2. Seleccione Auditar estos sucesos y, a continuación, habilite auditorías correcto y erróneo para los eventos de acceso a objetos y archivos.
  3. Haga clic en el botón Aceptar y cierre Administrador de usuarios para dominios.
  4. Abra Regedt32.
  5. Seleccione la ventana para el subárbol HKEY_LOCAL_MACHINE y seleccione la base de datos SAM clave.
  6. Seleccione permisos en el menú seguridad.
  7. Seleccione Cambiar permisos en la casilla de verificación de las subclaves existentes.
  8. Cambie la ACE para el grupo local de administradores de especial a control total.
  9. Haga clic en Aceptar para cambiar los permisos.
  10. Vaya a la siguiente clave:
    HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
  11. Seleccione auditoría en el menú seguridad y seleccione el permiso de auditoría en la casilla de verificación de las subclaves existentes.
  12. Agregue el grupo local de administradores a la lista de nombres.
  13. Seleccione el grupo local Administradores en la lista de nombres y habilite la auditoría de eventos establecer valor correcto y erróneo.
  14. Haga clic en el botón Aceptar y cierre el Editor del registro.
Si desea restaurar los permisos predeterminados para el grupo local Administradores en la clave de SAM y sus subclaves, darles sólo los permisos Write DAC y Read Control.

Cuando se realizan cambios en la cuenta de administrador, se generará varios eventos. El evento que indica el usuario que realizó el cambio será:

   ID: 560
   Source: Security
   Type: Success Audit
   Category: Object Access
				

Este evento indicará que el usuario que realizó el cambio y la fecha y hora del cambio.

Propiedades

Id. de artículo: 173939 - Última revisión: miércoles, 01 de noviembre de 2006 - Versión: 2.1
La información de este artículo se refiere a:
  • Microsoft Windows NT Server 3.5
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
Palabras clave: 
kbmt kbhowto kbinfo KB173939 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 173939

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com