如何识别用户用户更改管理员密码

文章翻译 文章翻译
文章编号: 173939 - 查看本文应用于的产品
展开全部 | 关闭全部

概要

启用用户和组管理对审核将生成审核事件的用户或组帐户发生更改时。但是,安全 ID (SID) 而不是进行了更改该用户的用户名,将列出该事件。

出于安全目的最好是用户的通常知道所做更改的用户名称。这可以通过审核注册表项对应于管理员帐户上的更改来完成。

更多信息

在主域控制器的控制台,应执行此过程。此过程应不会尝试通过 WAN 由于较大的数所涉及的注册表更改。

警告: 不正确地使用注册表编辑器可以会导致严重的系统问题,可能需要重新安装 Windows NT 才能解决问题。 Microsoft 不能保证可以解决任何问题,从而从使用注册表编辑器。使用此工具需要您自担风险。

  1. 打开域的用户管理器,并从策略菜单中选择审核。
  2. 选择审核下列事件,然后启用成功和失败审核的文件和对象访问事件。
  3. 单击确定按钮,并关闭用户管理器域。
  4. 打开 REGEDT32。
  5. 选择 HKEY_LOCAL_MACHINE 配置单元的窗口,然后选择 SAM 的关键。
  6. 从安全菜单中选择权限。
  7. 选择上现存子项复选框更改权限。
  8. 从特殊的本地组的 ACE 更改为完全控制。
  9. 单击确定以更改权限。
  10. 请转到以下项:
    HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
  11. 从安全菜单中选择审核,然后选择现存子项复选框上的审核权限。
  12. 将管理员本地组添加到列表中的名称。
  13. 在名称,列表中选择管理员本地组并启用成功和失败审核设置值的事件。
  14. 单击确定按钮,然后关闭注册表编辑器。
如果要恢复默认权限为 SAM 项及其子项上本地组授予了他们写入 DAC 和 $ 读取控制权限仅。

对管理员帐户进行的任何更改时, 将会生成几个事件。将为该事件,指示用户所做的更改:

   ID: 560
   Source: Security
   Type: Success Audit
   Category: Object Access
				

此事件将指明该更改的用户以及日期和时间的更改。

属性

文章编号: 173939 - 最后修改: 2006年11月1日 - 修订: 2.1
这篇文章中的信息适用于:
  • Microsoft Windows NT Server 3.5
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
关键字:?
kbmt kbhowto kbinfo KB173939 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 173939
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com