Az Active Directory változásainak ellenőrzésének kérdése rendkívül releváns a nagy domain infrastruktúrákban, ahol a különféle Active Directory felügyeleti összetevők jogait széles körre ruházják át. Egy előző cikkben általában a meglévő csoportházirend-beállításokról beszéltünk, amelyek lehetővé teszik az Active Directory változásainak ellenőrzését. Ma áttekintjük az AD biztonsági csoportok felhasználói által végrehajtott változások fenntartásának és nyomon követésének módszertanát. Ezzel a technikával felfegyverkezve a tartományi rendszergazda képes nyomon követheti az AD csoportok létrehozását és eltávolítását, is felhasználói események hozzáadása / eltávolítása ezekbe a csoportokba.
Alapértelmezés szerint a tartományvezérlők már rendelkeznek irányelvvel az Active Directory-csoportokban bekövetkező változásokkal kapcsolatos információk gyűjtésére, de csak a sikeres módosítási kísérletek kerülnek naplózásra.
Az Active Directory csoportokban bekövetkező változásokkal kapcsolatos események kényszerű naplózását engedélyezzük a csoportházirend segítségével. Ehhez nyissa meg a Csoportházirend-kezelő felügyeleti konzolt, keresse meg és szerkessze a házirendet Alapértelmezett domain ellenőr politika (alapértelmezés szerint ez a házirend az összes tartományvezérlőre vonatkozik).
megjegyzés. A tartománybiztonsági csoportok ellenőrzési eseményeinek nyomon követése csak a tartományvezérlőkön érhető el.
Térjünk tovább a csoportházirend-objektum következő szakaszára: Számítógépes konfiguráció-> Házirendek-> Windows-beállítások-> Biztonsági beállítások-> Speciális beállítások Ellenőrzési irányelvek-> Ellenőrzési irányelvek -> Fiókkezelés. Mi érdekli a politika Ellenőrizze a biztonsági csoport irányítását.
Nyissuk meg és szerkesszük azt, jelezve, hogy sikeres lesz az összegyűjtés (siker) és sikertelen (kudarc) események megváltoztatása a domain biztonsági csoportokban.
Várjon, amíg a módosított csoportházirend-objektumot alkalmazza a tartományvezérlőkön, vagy elvégezheti a csoportházirend-objektum kézi frissítését a paranccsal
gpupdate / force.
Az összegyűjtött ellenőrzési eseményeket a biztonsági naplóban tekintheti meg. A kényelem érdekében külön képet készítünk az eseménynaplóról. Ehhez válassza ki az elemet a Windows Event Viewer konzolban a helyi menü segítségével teremt szokás kilátás.
A nézetszűrési beállítások ablakban adja meg:
Naplóban - „Biztonság”
Tartalmazza / kizárja az eseményazonosítókat - Érdeklődnek az események a következő EventID-vel: 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4754, 4755, 4756, 4757, 4758, 4764.
megjegyzés. Összegyűjtöttük az összes esemény-azonosítót, amely megfelel az AD biztonsági csoportok különböző változásainak. Például,
ID 4727 - csoport létrehozási esemény
ID 4728 - esemény hozzáadja a felhasználót a csoporthoz
ID 4729 - esemény eltávolítja a felhasználót a csoportból
ID 4730 - biztonsági csoport törlési esemény
Ha szükséges, finomabb módon konfigurálhatja a szűrőt, csak az érdeklődő eseményeket hagyva.
Mentse el a módosításokat, és adja meg például a nézet nevét Ellenőrző csoport változásai.
A kísérlethez (az ADUC konzol használatával) vegye fel a JJonson felhasználót a Network Admins tartománycsoportba. Ezután megnyitjuk és frissítjük a létrehozott nézetet.
Mint láthatja, számos új esemény jelent meg benne..
Bármely esemény megnyitásával részletesebben megnézheti a végrehajtott változtatásokkal kapcsolatos információkat. Nyissa meg az eseményt az EventID segítségével 4728. Tartalmában látható. ez a dadmin hozzáadott egy JJonson felhasználói fiókot a Hálózati rendszergazdák csoporthoz
Tárgy: Biztonsági azonosító: corp \ dadminAccount név: dadmin
Fiók domain: corp
Bejelentkezési azonosító: 0x85A46579
tag:
Biztonsági azonosító: corp \ JJonson
Számlanév: CN = JJonson, OU = Felhasználók, OU = Fiókok, DC = corp, DC = loc
Csoport:
Biztonsági azonosító: corp \ Network Admins
Csoport neve: Hálózati rendszergazdák
Csoporttartomány: corp
Szükség esetén kötheti a szükséges eseményazonosítókat, hogy az eseményindítók révén automatikusan e-mail értesítéseket küldjön a biztonsági rendszergazdáknak.
