Como identificar o usuário que alterado a senha do administrador

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 173939
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
Sumário
Ativar a auditoria de gerenciamento de usuário e grupo gerará eventos de auditoria quando contas de usuário ou grupo são alteradas. No entanto, os eventos listará a identificação de segurança (SID) em vez do nome de usuário do usuário que fez a alteração.

Para fins de segurança, geralmente é desejável souber o nome de usuário do usuário que fez a alteração. Isso pode ser realizado pela auditoria de alterações na chave de registro correspondente à conta de administrador.
Mais Informações
Esse procedimento deve ser executado no console do controlador de domínio primário. Esse procedimento não deve ser tentado em uma WAN devido ao grande número de alterações no registro envolvidas.

Aviso: Usar o Editor do Registro incorretamente pode causar problemas sérios no sistema que talvez exijam a reinstalação do Windows NT para corrigi-los. Microsoft não garante que problemas resultantes do uso do Editor do Registro possam ser solucionados. Use esta ferramenta de sua responsabilidade.

  1. Abra Gerenciador de usuários para domínios e selecione auditoria no menu diretivas.
  2. Selecionar fazer auditoria nestes eventos e, em seguida, habilitar auditorias de êxito e falha para eventos de arquivos e de acesso a objetos.
  3. Clique no botão OK e feche o Gerenciador de usuários para domínios.
  4. Abra o Regedt32.
  5. Selecione a janela para a seção HKEY_LOCAL_MACHINE e selecione o SAM chave.
  6. Selecione permissões no menu segurança.
  7. Selecione as permissões Alterar na caixa de seleção subchaves existentes.
  8. Altere a ACE para o grupo Administradores local de especial para controle total.
  9. Clique em OK para alterar as permissões.
  10. Vá para a seguinte chave:
    HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
  11. Selecione auditoria no menu segurança e selecione a permissão de auditoria na caixa de seleção subchaves existentes.
  12. Adicione o grupo Administradores local à lista de nomes.
  13. Selecione o grupo Administradores local na lista de nomes e ative de auditoria para definir valor eventos êxito e falha.
  14. Clique no botão OK e feche o Editor do Registro.
Se você deseja restaurar as permissões padrão para o grupo Administradores local no chave SAM e suas subchaves, dê-los somente as permissões Gravar DAC e controle de leitura.

Quando as alterações são feitas para a conta de administrador, serão gerados vários eventos. O evento indicando o usuário que fez a alteração será:

   ID: 560   Source: Security   Type: Success Audit   Category: Object Access				

Esse evento indicará o usuário que fez a alteração, e a data e hora da alteração.
proteger a senha de bloqueio de proteção de tela

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 173939 - Última Revisão: 12/04/2015 17:51:30 - Revisão: 2.1

Microsoft Windows NT Server 3.5, Microsoft Windows NT Server 3.51, Microsoft Windows NT Server 4.0 Standard Edition

  • kbnosurvey kbarchive kbmt kbhowto kbinfo KB173939 KbMtpt
Comentários