Comment faire pour identifier l'utilisateur ayant modifié le mot de passe administrateur

Traductions disponibles Traductions disponibles
Numéro d'article: 173939 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Résumé

L'activation de l'audit pour la gestion des utilisateurs et des groupes génère les événements d'audit lors de la modification des comptes d'utilisateur ou groupe. Toutefois, les événements répertorie l'identificateur de sécurité (SID) plutôt que le nom d'utilisateur de l'utilisateur ayant effectué la modification.

Pour des raisons de sécurité, il est souvent souhaitable de connaître le nom d'utilisateur de l'utilisateur ayant effectué la modification. Vous pouvez le faire en l'audit des modifications sur la clé de Registre correspondant au compte d'administrateur.

Plus d'informations

Cette procédure doit être effectuée au niveau de la console du contrôleur de domaine principal. Cette procédure NOT doit être tentée sur un réseau étendu (WAN) en raison du grand nombre de modifications de Registre concernées.

Avertissement: À l'aide de l'Éditeur du Registre incorrectement peut causer de problèmes graves, à l'échelle du système peuvent vous obliger à réinstaller Windows NT. Microsoft ne peut pas garantir que les problèmes résultant de l'utilisation de l'Éditeur du Registre puissent être résolus. Utilisez cet outil à vos risques et périls.

  1. Ouvrez le Gestionnaire des utilisateurs pour les domaines et sélectionnez audit dans le menu stratégies.
  2. Sélectionnez auditer ces événements, puis activez les audits des succès et échec pour les événements d'accès aux fichiers et aux objets.
  3. Cliquez sur le bouton OK et fermez Gestionnaire des utilisateurs pour les domaines.
  4. Ouvrez Regedt32.
  5. Sélectionnez la fenêtre de la ruche HKEY_LOCAL_MACHINE, puis sélectionnez la base de données SAM de clé.
  6. Sélectionnez autorisations dans le menu sécurité.
  7. Sélectionnez le modifier les autorisations sur la case à cocher de sous-clés existantes.
  8. Modifiez l'ACE pour le groupe local Administrateurs de spécial à contrôle total.
  9. Cliquez sur OK pour modifier les autorisations.
  10. Accédez à la clé suivante :
    HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
  11. Sélectionnez auditing dans le menu sécurité, puis sélectionnez l'autorisation d'audit sur la case à cocher de sous-clés existantes.
  12. Ajouter au groupe local Administrateurs à la liste de noms.
  13. Sélectionnez le groupe local Administrateurs dans la liste des noms et activez réussite et Échec de l'audit des événements de définir une valeur.
  14. Cliquez sur le bouton OK et fermez l'Éditeur du Registre.
Si vous souhaitez restaurer les autorisations par défaut pour le groupe local Administrateurs sur la clé SAM et ses sous-clés, donnez-lui les autorisations Write DAC et Read Control.

Lorsque toutes les modifications sont apportées au compte administrateur, plusieurs événements seront générés. L'événement qui indique l'utilisateur qui a effectué la modification sera :

   ID: 560
   Source: Security
   Type: Success Audit
   Category: Object Access
				

Cet événement indique l'utilisateur qui a effectué la modification, ainsi que la date et heure de la modification.

Propriétés

Numéro d'article: 173939 - Dernière mise à jour: mercredi 1 novembre 2006 - Version: 2.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows NT Server 3.5
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
Mots-clés : 
kbmt kbhowto kbinfo KB173939 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 173939
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com