Az elmúlt 24 órában létrehozott AD-fiókok listájának beolvasása

Az információbiztonsági osztály feladata a legegyszerűbb ellenőrzési rendszer kifejlesztése, amely az elmúlt 24 órában létrehozott Active Directory-fiókok statisztikáinak feltöltése, valamint az a fiókot a domainben létrehozó személyekkel kapcsolatos információk feltöltése..

Tartalom:

  • Powershell-parancsfájl a nemrégiben létrehozott felhasználók listájához az Active Directory-ban
  • Hogyan lehet megtudni, ki hozott létre fiókot az Active Directory-ban

Powershell-parancsfájl a nemrégiben létrehozott felhasználók listájához az Active Directory-ban

Az Active Directory-ban az elmúlt 24 órában létrehozott felhasználói listához a legegyszerűbb módszer a PowerShell-parancsmag használata Get-ADUser.  A parancsmag kimenete a felhasználói attribútum alapján lesz kiszűrve whencreated, amely tárolja a fiók létrehozásának dátumát és időpontját. Kapok egy ilyen egyszerű PowerShell-parancsfájlt:

$ lastday = ((Get-Date) .AddDays (-1))
$ filename = Get-Date-formátum éééé.HH.dd
$ exportcsv = ”c: \ ps \ new_ad_users_” + $ fájlnév + “.csv”
Get-ADUser-szűrő (amikor létrehozva -ge $ múlt) | Export-csv -út $ exportcsv

Ebben a példában az AD-fiókok listáját egy fájlba menti, amelynek neve az aktuális dátum. Az ütemező segítségével konfigurálhatja a szkript napi elindítását, amelynek eredményeként az adott fiók létrehozásának dátumával kapcsolatos információkat tartalmazó fájlok felhalmozódnak a megadott könyvtárba. Bármely más felhasználói attribútumot felvehet az Active Directory-ból a jelentésbe (lásd a Get-ADUser használatával kapcsolatos cikket).

Hogyan lehet megtudni, ki hozott létre fiókot az Active Directory-ban

A fiók létrehozása mellett a biztonsági őrök érdeklődhetnek egy adott felhasználó nevéről, aki létrehozott egy adott fiókot az Active Directory-ban. Ez az információ az Active Directory tartományvezérlő biztonsági naplóiból szerezhető be..

Amikor új felhasználót ír be a tartományvezérlő biztonsági naplójába (csak ezt DC, amelyen a fiók létrehozásra került) megjelenik egy esemény EvenId kóddal 4720 (A DC-nek engedélyeznie kell a fiókkezelési politikát az Alapértelmezett tartományvezérlő házirendben).

Az esemény leírása tartalmazza az A felhasználói fiók sor létrehozását, majd azt a fiókot, ahonnan létrehozták az új AD felhasználói fiókot (kiemelve az alábbi képernyőképen).

A szkript az összes fiók létrehozási esemény letöltésére a tartományvezérlő naplóból az elmúlt 24 órában így néz ki:

$ time = (get-date) - (új idõtartam - 24 óra)
$ filename = Get-Date-formátum éééé.HH.dd
$ exportcsv = ”c: \ ps \ ad_users_creators” + $ fájlnév + “.csv”
Get-WinEvent -FilterHashtable @ LogName = "Biztonság"; ID = 4720; StartTime = $ Time | Foreach
$ esemény = [xml] $ _. ToXml ()
if ($ esemény)

$ Time = Get-Date $ _. TimeCreated -UFormat "% Y-% m-% d% H:% M:% S"
$ CreatorUser = $ event.Event.EventData.Data [4]. "# Szöveg"
$ NewUser = $ event.Event.EventData.Data [0]. "# Szöveg"
$ dc = $ event.Event.System.computer
$ dc + “|” + $ Idő + “|” + $ NewUser + “|” + $ CreatorUser | out-file $ exportcsv -append

Az „Egyszerű ellenőrzési rendszer a fájlok és mappák törléséhez a Windows Server számára” című cikkhez hasonlóan az észlelt eseményekre vonatkozó információkat úgy konfigurálhatja, hogy ne legyen szöveges fájl az egyes DC-ken, hanem a MySQL .NET csatlakozóval a PowerShell számára egyetlen MySQL adatbázist tartalmazzon..