Oturum Aç
Microsoft.com
 
Microsoft
 
 
 

none
windows server 4738事件 RRS feed

 > 

  • Soru

  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç

    查看事件发现许多4738事件都是修改了密码而已

    有没有什么方法可以单独把修改密码的4738事件拿掉

    仅查看到修改了其它信息的4738事件

    5 Ocak 2023 Perşembe 09:14
    |

Yanıtlar

  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">
    *[System[(EventID=4738) 
    and EventData[Data[@Name='PasswordLastSet'] = '-']]
        </Select>
      </Query>
    </QueryList>

    XML筛选器如上

    • Yanıt Olarak İşaretleyen hins998 9 Mart 2023 Perşembe 00:17
    9 Mart 2023 Perşembe 00:16
    |

Tüm Yanıtlar

  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç
    是需要自己去创建DACL吗
    5 Ocak 2023 Perşembe 09:19
    |
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç
    尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    通常如果您的域控上的安全日志里产生了事件ID4738, 一般就是您设置了如下的审核策略

    传统审核策略(至少包括以下截图中的操作会被记录下):

    Computer Configuration\Windows settings\security settings\local policies\audit policy\Audit Account Management 


    或者
    高级审核策略(至少包括以下截图中的操作会被记录下):
    Computer Configuration\Windows settings\security settings\Advanced Audit Policy Configuration\Account Management\Audit User Account Management



    同时您还应该在指定的对象或者父对象上设置了审核权限。例如下面的设置:



    您可以尝试在您设置的对象或者父对象(父容器上)去修改我提到的第二点审核权限,就是不勾选“Change Password”这个权限。
    您一定要找准您之前在哪个对象上设置的,去修改一下。


    最后修改好了设置审核权限,再改密码试试,看是否还会产生事件ID4738.

    参考文档:
    4738(S) A user account was changed. (Windows 10) | Microsoft Learn


    希望上述的回复对您有帮助。如有任何问题,欢迎您随时咨询我们。


    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.



    6 Ocak 2023 Cuma 02:28
    |
    Moderatör
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç

    我开启了高级审核策略--账户管理--审核用户账户管理

    然后您的这句话

    您可以尝试在您设置的对象或者父对象(父容器上)去修改我提到的第二点审核权限,就是不勾选“Change Password”这个权限。
    您一定要找准您之前在哪个对象上设置的,去修改一下。

    是什么意思?因为看截图我的理解是在某个文件夹上去设置这个审核权限,但我的想法是不想在事件查看器中看到修改密码的4738事件

    9 Ocak 2023 Pazartesi 01:08
    |
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç
    尊敬的客户,您好!

    感谢您的回复。

    1.请问您提到的事件ID4738是在域控的事件查看器里看到的吗?还是在哪一台机器上的事件查看器里看到的啊?
    2.因为这个审核策略是计算机策略,那么如果您是在域控上的事件查看器里看到的话,那么就是修改了域控上的用户账号对应的密码,就产生了这些4738事件。

    你就是要在之前设置的审核权限上去修改,上面的截图不是文件夹,是域控上的AD 用户和计算机工具里的一个容器(任何一个容器或者OU上都可以看到对应截图的类似于权限的设置)。

    AD里的那些容器就是长得像文件夹的图标类似。


    审核事件的生成就是:设置了哪个用户或者哪个组对什么对象作了什么权限(成功或者失败或者成功和失败),然后这个用户或者这个组里的用户刚好对这个对象作了这样的权限操作,成功了或者失败了,那么就记录下了这样的事件ID。

    您可以作一个简单的测试:就是配置生成事件4738(修改密码),然后在设置,不生成修改密码的事件ID 4738.最后您应该就可以理解我第一次回复的内容了。

    希望上述的回复对您有帮助。如有任何问题,欢迎您随时咨询我们。


    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    9 Ocak 2023 Pazartesi 07:16
    |
    Moderatör
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç

    因为我是直接对域控制器的OU设置了高级审核组策略的,所以是在域控的事件查看器上看到了需要4738(修改密码)的事件

    按您的意思,我应该对域控制器那个OU进行权限设置对吗?(因为我现在没有测试环境,只有来提问了哈哈抱歉)

    11 Ocak 2023 Çarşamba 07:39
    |
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç
    尊敬的客户,您好!

    感谢您的回复。

    我想问一下,您提到的这个4738修改密码的事件,是修改的AD用户的账号密码还是修改的域控制器这台机器的账号密码?或者其他的什么账号对应的密码呢?

    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    12 Ocak 2023 Perşembe 02:39
    |
    Moderatör
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç

    是密码策略提醒用户密码即将到期 然后用户自行去修改而产生的事件

    如果我不想在域控上看到这种4738的事件应该如何去修改设置

    13 Ocak 2023 Cuma 05:57
    |
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç

    尊敬的客户,您好!

    感谢您的回复。

    那么您之前肯定设置了审核策略和审核的权限。所以才会产生审核事件的。

    您现在就是需要把这个设置找出来,取消审核(取消审核更改密码),从而当更改密码的时候不产生对应的审核日志。

    不太清楚您之前在哪个地方设置的,您可以在一台域控上检查看看:

    1.在域级别检查看下,右击域名,然后属性,安全标签,点击高级按钮打开,下面看下auditing权限下面,是否设置了呢。
    2.您也可以在Domain Controller(域控制器)这个容器上检查看下,右击Domain Controller(域控制器),然后属性,安全标签,点击高级按钮打开,下面看下auditing权限下面,是否设置了呢。

    3.如果上面有相关的信息,您又不知道怎么取消设置的话,您截图我看看。如果上面2个地方都没有,您可以在看看其他的容器。


    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    13 Ocak 2023 Cuma 09:08
    |
    Moderatör
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç
    尊敬的客户,您好!

    请问这个帖子里的问题是否解决了呢?

    对于这个帖子,如果您还有任何相关的问题,请随时告知我们。我们很高兴帮助您。

    备注:很抱歉,我这边从明天开始休假了,如果您的问题还没有解决的话,并且您不是非常着急的话,那么我们可以年后来继续沟通并处理您的问题。很抱歉给您带来的不便。

    只要我今天有空的话,我也会尽量回复您的。


    此致,
    Daisy Zhou


    如果我的回答是有帮助的,请将其标记为答复,可以帮助其他社区成员快速找到有用的答复,谢谢!

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    16 Ocak 2023 Pazartesi 02:03
    |
    Moderatör
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç

    等我年后测试一下吧 也提前祝您春节快乐

    -----------------------------------------------------

    我是在Default Domain Policy开启了本地的审核策略(全部),在Default Domain Controllers Policy开启了高级的本地审核策略(用户账户管理)

    然后在AD管理中心下查看了域和Default Domain Controllers Policy的安全属性,在审核中并未发现有 勾选“Change Password”这个权限 的内容

    • Düzenleyen hins998 28 Ocak 2023 Cumartesi 05:51
    19 Ocak 2023 Perşembe 02:34
    |
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç
    尊敬的客户,您好!

    感谢您的回复。

    我是在Default Domain Policy开启了本地的审核策略(全部),在Default Domain Controllers Policy开启了高级的本地审核策略(用户账户管理)
    回答:应该是Default Domain Controllers Policy开启了高级的本地审核策略(用户账户管理)生效的,因为这个事件4738是在域控上生成的。

    请问修改密码成功以后生成    4738的那些账号是在域里还是在某一个OU里还是在某个容器里?或者说这些账号有的账号在域里,有的账号在某一个OU里,也有的账号在某个容器里?

    您根据账号所在的位置(例如我截图是域的属性里的,),检查这些Auditing下面是否有Auditing entries呢。




    此致,
    Daisy Zhou


    如果我的回答是有帮助的,请将其标记为答复,可以帮助其他社区成员快速找到有用的答复,谢谢!

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    30 Ocak 2023 Pazartesi 05:46
    |
    Moderatör
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç

    所有的4738事件都在域控制器上的事件查看器中

    成员放在1~2个不同的OU里面,OU下有子OU(单林单域)

    另外我在测试机上的AD管理中心看过“域”和“Default Domain Controllers Policy”的Auditing,没找到有勾选”changed password“的

    30 Ocak 2023 Pazartesi 08:09
    |
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç
    尊敬的客户,您好!

    感谢您的回复。

    您看下这里"Applies to"选择的是什么?用户账号或者计算机账号或者所有子账号?
    因为只有账号才有对应的密码,才需要改密码。



    此致,
    Daisy Zhou


    如果我的回答是有帮助的,请将其标记为答复,可以帮助其他社区成员快速找到有用的答复,谢谢!

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    1 Şubat 2023 Çarşamba 03:37
    |
    Moderatör
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç

    这边看到是test.com的高级安全设置的

    administrators和Domain users都有勾选“修改密码”

    我都关掉了再去测试都还是会弹4738事件

    -----------------------------------------------------------

    是所有的域用户账号自行修改密码后,域控会收到4738的事件


    • Düzenleyen hins998 1 Şubat 2023 Çarşamba 06:15
    1 Şubat 2023 Çarşamba 06:10
    |
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç
    尊敬的客户,您好!

    感谢您的回复。

    请问    administrators和Domain users都有勾选“修改密码”怎么理解?
    请问您审计的主体不是everyone??


    "是所有的域用户账号自行修改密码后,域控会收到4738的事件", 这个我理解的


    此致,
    Daisy Zhou


    如果我的回答是有帮助的,请将其标记为答复,可以帮助其他社区成员快速找到有用的答复,谢谢!

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2 Şubat 2023 Perşembe 09:31
    |
    Moderatör
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç

    审计里面有3个主体

    administrators、Domain Users还有everyone

    但是everyone里面我看了下是没勾选“修改密码”一项的

    3 Şubat 2023 Cuma 00:59
    |
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç

    尊敬的客户,您好!

    感谢您的回复。

    那您就把主体administrators、Domain Users下面的“修改密码”这个勾取消,然后保存设置,最后再去修改密码看看呢。

    此致,
    Daisy Zhou


    如果我的回答是有帮助的,请将其标记为答复,可以帮助其他社区成员快速找到有用的答复,谢谢!

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    6 Şubat 2023 Pazartesi 05:49
    |
    Moderatör
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç
    试过了不行,但好像当时只是GPUPDATE了一下,没重启
    6 Şubat 2023 Pazartesi 07:52
    |
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç

    尊敬的客户,您好!

    感谢您的回复。

    你把AD用户和计算机这里的所有的包含那些用户的容器和OU的属性都检查一下,看看有没有里面勾选了“更改密码”的选项,有的话,取消看看是否可以呢。


    肯定是这里的某个安全属性里设置了审核的权限,在这里的用户更改密码以后,就生成了4738.

    此致,
    Daisy Zhou


    如果我的回答是有帮助的,请将其标记为答复,可以帮助其他社区成员快速找到有用的答复,谢谢!

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    7 Şubat 2023 Salı 07:52
    |
    Moderatör
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç

    看了一下,基本都没有勾上修改密码的,有放用户账户的OU或者容器基本都只是继承了test.com目录的权限


    • Düzenleyen hins998 27 Şubat 2023 Pazartesi 00:42
    21 Şubat 2023 Salı 01:38
    |
  • Question
    Oylamak İçin Oturum Aç
    0
    Oylamak İçin Oturum Aç

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">
    *[System[(EventID=4738) 
    and EventData[Data[@Name='PasswordLastSet'] = '-']]
        </Select>
      </Query>
    </QueryList>

    XML筛选器如上

    • Yanıt Olarak İşaretleyen hins998 9 Mart 2023 Perşembe 00:17
    9 Mart 2023 Perşembe 00:16
    |