Domain ortamındaki bir kullanıcımızın hesabı kilitlendiğinde alttaki komutlar izleme yapılabilir.
1- SID numarasından kullanıcı adını bulabilmek için;
wmic useraccount where sid="S-1-5-21-785398446-389385763-2690074584-7222" get name
2- Kilitlenen hesap ile ilgili detalı bilgi edebilemek için powershell ile;
(4767 user account was unlocked dahil)
Get-EventLog -LogName Security | ?{$_.message -like "*locked*USERNAME*"} | fl -property *
Comments