Разберемся, как в доменной среде Active Directory по журналам контроллеров домена определить, кто из администраторов сбросил пароль учетной записи определенного пользователя. В первую очередь, в политиках домена нужно включить аудит событий управления учётными записями. Для этого: Откройте консоль управления групповыми политиками Group Policy Management (gpmc.msc) и отредактирует политику домена Default Domain Policy. Найдите и включите политику Audit User Account Management (если нужно фиксировать в журнале как успешные, та и неудачные попытки смены пароля, выберите опции Success и Failure)...

Рано или поздно администратору домена приходится столкнуться с задачей настройки политики аудита в Active Directory. Возникают некоторые вопросы, на которые очень хотелось бы найти ответы. Кто удалил группу в AD? Кто сменил пароль пользователя? Кто разблокировал заблокированного пользователя? Особенно остро проблема проявляется если вы единственный администратор домена. Хе-хе. В Windows существуют встроенные средства аудита изменений объектов Active Directory, которыми можно управлять с помощью групповых политик...