Rechercher
Rechercher

Savoir qui a modifié un mot de passe Active directory

Dans un réseau d’entreprise géré avec un système Microsoft Server, toutes les informations des utilisateurs sont stockées dans la base de données Active Directory, ici il est possible de trouver de nombreuses informations utiles sur chaque utilisateur défini dans le système et ses activités.

Aujourd’hui, nous voyons comment il est possible de vérifier (depuis l’interface graphique du serveur Windows ou depuis la ligne de commande) la date et l’heure du dernier changement de mot de passe d’un certain utilisateur Active Directory.

Pour démarrer notre vérification du dernier changement de mot de passe d’un utilisateur, il est nécessaire de lancer le programme de gestion des Utilisateurs et Ordinateurs Active Directory sur le serveur que vous trouvez dans le chemin :

Démarrer -> Programmes -> Outils d’administration -> Utilisateurs et ordinateurs Active Directory

une fois ouvert, nous sélectionnons le menu:

Affichage -> Fonctionnalités avancées

puis nous sélectionnons la vue  Utilisateurs   à gauche, puis nous choisissons l’utilisateur à vérifier (Admin dans notre exemple) et un  clic droit -> Propriétés   pour ouvrir les propriétés de cet utilisateur, les informations qui nous intéressent se trouvent dans l’  onglet Attribut Editor   et s’appelle  pwdLastSet   (on peut le trouver en faisant défiler la fenêtre comme dans l’image suivante) :

Alternativement, nous pouvons trouver la date du dernier changement de mot de passe d’un utilisateur également à partir de l’invite de commande, ouvrez-le simplement sur le serveur avec démarrer -> exécuter -> cmd.exe puis tapez :

utilisateur réseau <nom_utilisateur>

dans notre exemple ce sera :

administrateur de l’utilisateur net

et la sortie ressemblera à l’écran suivant :

AD_last_pass_change_03

dans la ligne  Password last set   , nous pourrons lire la date et l’heure auxquelles le mot de passe de l’utilisateur a été modifié pour la dernière fois.

Qui a changé le mot de passe utilisateur active directory

Pour savoir qui a changé un mot de passe utilisateur dans Active Directory, vous devez configurer l’audit des modifications dans Active Directory et examiner les journaux d’audit. Voici un tutoriel étape par étape pour réaliser cela :

Étape 1 : Activer l’audit des modifications dans Active Directory

  1. Ouvrez « Gestionnaire des stratégies de sécurité locales » sur le contrôleur de domaine :
    • Appuyez sur « Win + R » pour ouvrir la boîte de dialogue « Exécuter ».
    • Tapez « secpol.msc » et appuyez sur « Entrée ».
  2. Dans le « Gestionnaire des stratégies de sécurité locales », développez « Stratégies locales », puis cliquez sur « Options de sécurité ».
  3. Dans le volet de droite, double-cliquez sur « Audit des objets » pour ouvrir ses propriétés.
  4. Cochez les cases « Succès » et « Échec » pour les options « Modification » et « Changement de mot de passe » pour les objets « Utilisateur ».
  5. Cliquez sur « OK » pour enregistrer les modifications.

Étape 2 : Activer l’audit avancé pour l’objet « Utilisateur » dans Active Directory

  1. Ouvrez « Utilisateurs et ordinateurs Active Directory » sur le contrôleur de domaine :
    • Appuyez sur « Win + R » pour ouvrir la boîte de dialogue « Exécuter ».
    • Tapez « dsa.msc » et appuyez sur « Entrée ».
  2. Cliquez avec le bouton droit de la souris sur le domaine, puis sélectionnez « Afficher » > « Fonctionnalités avancées ».
  3. Cliquez avec le bouton droit de la souris sur l’unité organisationnelle (OU) où les comptes utilisateurs sont stockés, puis sélectionnez « Propriétés ».
  4. Dans l’onglet « Sécurité », cliquez sur « Avancé ».
  5. Allez dans l’onglet « Audit », puis cliquez sur « Ajouter ».
  6. Cliquez sur « Sélectionner un principal » pour spécifier les utilisateurs ou les groupes dont vous souhaitez auditer les modifications de mot de passe.
  7. Choisissez « Utilisateurs » ou « Groupes » selon votre préférence, puis entrez le nom du compte ou du groupe et cliquez sur « OK ».
  8. Cochez la case « Changer le mot de passe » dans la section « Autorisations ».
  9. Cliquez sur « OK » pour enregistrer les modifications.

Étape 3 : Examiner les journaux d’audit Maintenant que l’audit des modifications de mot de passe est activé, vous pouvez examiner les journaux d’audit pour identifier qui a changé un mot de passe utilisateur récemment.

  1. Ouvrez « Observateur d’événements » sur le contrôleur de domaine :
    • Appuyez sur « Win + R » pour ouvrir la boîte de dialogue « Exécuter ».
    • Tapez « eventvwr.msc » et appuyez sur « Entrée ».
  2. Dans l’Observateur d’événements, développez « Journaux Windows » > « Sécurité ».
  3. Recherchez les événements portant les numéros d’identification suivants :
    • 4723 : L’utilisateur a changé son propre mot de passe.
    • 4724 : Un administrateur a réinitialisé le mot de passe d’un utilisateur.
  4. Les détails de l’événement afficheront les informations sur le changement de mot de passe, y compris le nom de l’utilisateur et l’heure du changement.

C’est ainsi que vous pouvez savoir qui a changé un mot de passe utilisateur dans Active Directory en activant l’audit des modifications et en consultant les journaux d’audit appropriés. Gardez à l’esprit que l’audit des modifications peut générer un grand nombre d’événements, assurez-vous donc de configurer les paramètres d’audit en fonction de vos besoins spécifiques.

Tu pourrais aussi être intéressé par ces articles :

Laisse moi un commentaire !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Instagram Linkedin-in Twitter

Nos cyber conseils