Security Event ID 4724 DC Password reset logları gelmiyor

Arkadaşlar Merhaba.

Domain üzerinde yetkisi olan kişilerin Password Resetleme loglarını görmek
istiyoruz.

Netten yaptığım araştırmalar sonucu Default domain controller policy
> Security settings > Audit Policy içindeki Loglamaları
aktif ettiğimde gelmesi gerekiyor. Ancak ne yaptıysam 4724 Event ID’li
Password reset logunu alamadım.

Birkaç yöntem daha buldum, Regedit üzerinde ayarlamalar vs.. Sistemin imaj
kopyasını alarak bunları da denedim ancak bir sonuca varamadım.

Konu ile ilgili fikirleriniz var ise paylaşırsanız memnun olurum.

Not: Daha önce yapılandırılan ancak şu anda tam anlamıyla stabil çalışmayan
Cryptolog yazılımını kullanıyoruz. Belki bunun etkisi olabilir diye bilgi
vermek istedim.
Not: Üçüncü parti yazılımlar buldum ancak üçüncü parti yazılımlar Logları
sistemden çekip bize sadeleştirdiği mantığından yola çıkarsak sistem üzerinde
böyle bir log bulamayacağı için bana da sunamayacağı kanaatiyle denemedim, Bunu
denememi tavsiye edersen deneyebilirim.

Merhaba,

Öncelikle ayarları Domain Controllers OU üstüne bağlı bir GPO da yapmayı unutmayın. Bu Default Domain Controller Policy olabilir ancak genelde kabul göre Default GPO dışında size ait olanları açmak bu sayede geriye dönük değişiklikleri takip etmektir.

Oluşturduğunuz veya mevcut GPO içerisinde aşağıdaki yolu izleyin;

Computer Configuration->Policies->Windows Settings->Security Settings->Local Policies->Audit Policy

Bu bölümde bulunan "Audit account management" bölümünü açın ve "success audit" kutucuğunu işaretleyin.

Buna rağmen eğer olay günlüklerini bunu göremiyorsanız muhtemel Default Domain Policy ilkesi için enforce tanımı ya da Domain Controller OU da block policy inheritance gibi birşeyler yapmış olabilirsiniz.

Veya konu daha karışık advanced audit policy var ise o zaman bu makaleyi incelemenizi öneririm.

Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings. - Hakan Uzuner

Basit anlamda açmak için komut

auditpol /set /subcategory:"User Account Management" /success:enable

Kapatmak için

auditpol /set /subcategory:"User Account Management" /success:disable

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

Gönderildi : 16/09/2023 18:49