В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Как идентифицировать пользователя, который изменил пароль администратора

ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.

Эта статья на английском языке:173939
Эта статья помещена в архив. Она предлагается "как есть" и обновляться не будет.
Аннотация
Включение аудита для пользователей и групп управления будет создавать события аудитаПри изменении учетных записей пользователя или группы. Тем не менее, будет содержать список событийИдентификатор безопасности (SID), а не имя пользователя, выполнившегоизменение.

В целях безопасности часто бывает необходимо знать имя пользователяпользователя, сделавшего изменение. Это можно сделать путем изменения параметров аудита враздел реестра, соответствующий учетной записи администратора.
Дополнительная информация
Эта процедура должна выполняться с консоли основного доменаконтроллер. Эта процедура не будет предпринято через глобальную сеть из-забольшое количество необходимых изменений реестра.

Предупреждение: Неправильное использование редактора реестра может привести к серьезным проблемам, системныенеполадки и потребовать переустановки Windows NT для их исправления.Корпорация Майкрософт не может гарантировать, что любые проблемы, вызванные использованиемРедактор реестра может быть решена. Это средство можно используйте на свой страх и риск.

  1. Откройте диспетчер пользователей для доменов и выберите из меню Политика аудита.
  2. Выберите аудит событий, а затем включите аудит успехов и отказов для События файла и доступа К объектам.
  3. Нажмите кнопку OK и закройте окно диспетчера пользователей для доменов.
  4. Откройте REGEDT32.
  5. Выберите в окне куст HKEY_LOCAL_MACHINE и SAM ключ.
  6. В меню Безопасность выберите разрешения.
  7. Выберите Изменить разрешения для существующих подразделов checkbox.
  8. Изменение записи ACE для локальной группы «Администраторы» из специальных полное Элемент управления.
  9. Нажмите кнопку OK, чтобы изменить разрешения.
  10. Найдите следующий раздел:
    HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
  11. В меню Безопасность выберите аудит и выберите разрешение аудита для существующих подразделов checkbox.
  12. Добавьте в список имен локальной группы «Администраторы».
  13. Выберите в списке имен локальной группы «Администраторы» и включить Аудит успехов и отказов для установки значения событий.
  14. Нажмите кнопку ОК и закройте редактор реестра.
Если вы хотите восстановить разрешения по умолчанию для локальных администраторовгруппы на SAM раздел и его подразделы, присвойте им DAC записи и чтенияУправление разрешениями.

При внесении любых изменений учетной записи администратора, будет несколько событийсоздан. Событие, указывающее на пользователя, сделавшего изменение будет:

   ID: 560   Source: Security   Type: Success Audit   Category: Object Access				

Это событие указывает пользователя, который внес изменения, а также Дата ивремя изменения.
Защита блокировки пароля экранной заставки

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 173939 — последний просмотр: 12/04/2015 17:51:31 — редакция: 4.0

операционная система Microsoft Windows NT Server 3.51, Microsoft Windows NT Server 4.0 Standard Edition

  • kbnosurvey kbarchive kbhowto kbinfo kbmt KB173939 KbMtru
Отзывы и предложения