如何识别用户用户更改管理员密码

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 173939
本文已归档。它按“原样”提供,并且不再更新。
概要
启用用户和组管理对审核将生成审核事件的用户或组帐户发生更改时。但是,安全 ID (SID) 而不是进行了更改该用户的用户名,将列出该事件。

出于安全目的最好是用户的通常知道所做更改的用户名称。这可以通过审核注册表项对应于管理员帐户上的更改来完成。
更多信息
在主域控制器的控制台,应执行此过程。此过程应不会尝试通过 WAN 由于较大的数所涉及的注册表更改。

警告: 不正确地使用注册表编辑器可以会导致严重的系统问题,可能需要重新安装 Windows NT 才能解决问题。 Microsoft 不能保证可以解决任何问题,从而从使用注册表编辑器。使用此工具需要您自担风险。

  1. 打开域的用户管理器,并从策略菜单中选择审核。
  2. 选择审核下列事件,然后启用成功和失败审核的文件和对象访问事件。
  3. 单击确定按钮,并关闭用户管理器域。
  4. 打开 REGEDT32。
  5. 选择 HKEY_LOCAL_MACHINE 配置单元的窗口,然后选择 SAM 的关键。
  6. 从安全菜单中选择权限。
  7. 选择上现存子项复选框更改权限。
  8. 从特殊的本地组的 ACE 更改为完全控制。
  9. 单击确定以更改权限。
  10. 请转到以下项:
    HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
  11. 从安全菜单中选择审核,然后选择现存子项复选框上的审核权限。
  12. 将管理员本地组添加到列表中的名称。
  13. 在名称,列表中选择管理员本地组并启用成功和失败审核设置值的事件。
  14. 单击确定按钮,然后关闭注册表编辑器。
如果要恢复默认权限为 SAM 项及其子项上本地组授予了他们写入 DAC 和 $ 读取控制权限仅。

对管理员帐户进行的任何更改时, 将会生成几个事件。将为该事件,指示用户所做的更改:

   ID: 560   Source: Security   Type: Success Audit   Category: Object Access				

此事件将指明该更改的用户以及日期和时间的更改。
屏幕保护程序锁定密码保护

警告:本文已自动翻译

属性

文章 ID:173939 - 上次审阅时间:12/04/2015 17:51:33 - 修订版本: 2.1

Microsoft Windows NT Server 3.5, Microsoft Windows NT Server 3.51, Microsoft Windows NT Server 4.0 Standard Edition

  • kbnosurvey kbarchive kbmt kbhowto kbinfo KB173939 KbMtzh
反馈