Question

Hola! tengo un servidor 2008 R2 y necesito saber quien modifico la contraseña de un usuario local (el equipo esta unido a un dominio). Alguien sabe como puedo hacer esto?

Gracias!!

Answer 1

Si la auditoria a nivel de dominio no fue definida con anterioridad dudo mucho que sepas quien realizo el cambio,

lo que deberias hacer es habilitar la auditoria mediante GPO en la seccion de (Audit account management)

Inicia la administracion de las GPO

Edita la Default Domain Policy (Para Workstations)

Ve a Computer configuration
      > Windows settings
         > Security Settings
           > Local Policies
             > Audit Policy
                > Audit account management

Y listo, luego en el visor de eventos del equipo local y una vez que las políticas hallan refrescado (15 minutos) o manualmente mediante una consola CMD (gpupdate /force) para no tener que esperar (como es de Computer Configuration) esta se aplica cuando inicia el equipo antes del logon, por lo que por mas de que fuerces la policy con este comando te conviene reiniciar el equipo filtra los eventos de Security y busca los ID:

627: Change Password Attempt

628: User Account Password Set

Exitos !

Te dejo otro dato: http://blogs.technet.com/b/askds/archive/2009/11/02/auditing-password-and-account-lockout-policy-on-windows-server-2008-and-r2.aspx

 

Comments

Gracias por tu respuesta!!!
en caso de que lo q quiera auditar sean usuarios de un dominio, es decir, que quiera saber quien o cuando le cambio la contraseña a un usuario de dominio, especificamente dos que son domain admin, sabes como deberia hacer???

gracias!!!!

saludos!

---

En tal caso necesitaras realizar estos pasos en tu Domain Controller, pero en la GPO Default Domain controller Policy. Saludos.