如何識別使用者,變更系統管理員密碼

文章翻譯 文章翻譯
文章編號: 173939 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

結論

啟用使用者和群組管理的稽核會產生稽核事件,當變更使用者或群組帳戶。不過,事件也會列出安全性識別碼 (SID),而不是進行變更之使用者的使用者名稱。

基於安全理由通常很希望知道進行變更之使用者的使用者名稱。稽核登錄機碼對應到系統管理員帳戶上所做的變更可以達到此目的。

其他相關資訊

此程序應該執行在網域主控制站的主控台。此程序應該不嘗試透過 WAN 因為大型的數目所涉及的登錄變更。

警告: 不當使用 「 登錄編輯器 」 可能會導致嚴重的全系統的問題,可能必須重新安裝 Windows NT 以更正。 Microsoft 無法保證任何因使用登錄編輯程式所造成的問題可以獲得解決。使用此工具,請自行負擔相關的風險。

  1. 開啟 [使用者管理員] 的網域,然後從 [原則] 功能表中選取 [稽核。
  2. 選取 [稽核這些事件,然後啟用檔案及物件存取事件的成功和失敗稽核。
  3. 按一下 [確定] 按鈕,然後關閉使用者管理員網域。
  4. 開啟 REGEDT32。
  5. 選取 [] 視窗的方式 Hive 選取 SAM 按鍵。
  6. 從安全性功能表選取 [權限]。
  7. 選取上既有子機碼] 核取方塊 [變更權限。
  8. 從特殊變更系統管理員本機群組的 ACE,為 「 完全控制。
  9. 按一下 [確定] 以變更權限。
  10. 移至下列機碼:
    HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
  11. 從 [安全性] 功能表選取稽核,然後選取 [稽核權限] 上既有子機碼] 核取方塊。
  12. 新增系統管理員本機群組到名稱的清單。
  13. 選取系統管理員本機群組清單中的名稱,並啟用成功和失敗的稽核設定值] 事件。
  14. 按一下 [確定] 按鈕,然後關閉 [登錄編輯程式]。
如果想還原上 SAM 機碼及其子機碼系統管理員本機群組的預設權限賦予它們權寫入 DAC 及讀取控制限只。

給系統管理員帳戶進行任何變更,將會產生數個事件。事件指出使用者所做變更,將會:

   ID: 560
   Source: Security
   Type: Success Audit
   Category: Object Access
				

這個事件會指出使用者所做之變更日期和時間的變更和。

屬性

文章編號: 173939 - 上次校閱: 2006年11月1日 - 版次: 2.1
這篇文章中的資訊適用於:
  • Microsoft Windows NT Server 3.5
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
關鍵字:?
kbmt kbhowto kbinfo KB173939 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:173939
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com