thorstenray
Goto Top

Überwachung spezieller Eigenschaften Attribute im AD

Hallo zusammen,

ich habe aktuell das Problem und daraus resultierende Anforderung bestimmte User in unserer ActiveDirectory Umgebung zu überwachen.

Und zwar geht es um bestimmte Benutzer im Helpdesk die eingeschränkte Rechte im AD haben.
Es kam leider immer wieder in der Vergangenheit vor, dass diese Mitarbeiter bei "bestimmten" Benutzern oder bei sich selbst
das Flag im Reiter Konto "Kennwort läuft nie ab" gesetzt haben.
Somit hebeln diese User die Kennwortrichtlinie aus....was mir gar nicht gefällt.

Jetzt habe ich schon geschaut ob ich eine solche Änderung über den Eventviewer auslesen könnte und mich somit automatisch
benachrichtigten lassen könnte.

Aber so wie es aussieht wird allenfalls protokolliert dass es eine Änderung gegeben hat - aber eben nicht zu diesem speziellen Punkt.

Habt ihr eine Idee wie ich eine Überwachung etablieren könnte, so dass ich in solchen Fällen automatisch
benachrichtigt werden.

Beispielsweise wenn Mitglieder in einer bestimmten AD-Gruppe das Flag "Kennwort läuft nie ab" gesetzt bekommen.
Das macht natürlich auch nur Sinn wenn in dieser Beachrichtigung auch der Benutzer drin steht, der diese Änderung vorgenommen hat....

Sonst können keinen "erzieherischen Maßnahmen" erfolgen.

Besten Dank schon mal.

Viele Grüße

Thorsten Ray

Content-Key: 480359

Url: https://administrator.de/contentid/480359

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: Dani
Dani 01.08.2019 um 12:33:22 Uhr
Goto Top
Moin,
warum arbeitet du nicht mit Delegierungen für den Service/Helpdesk? Somit kann der Benutzer nur Parameter/Eigenschaften ändern, für die er berechtigt ist. Dann kannst du dir das Überwachen, etc... sparen und hast gleich eine Dokumentation, wer was darf. face-smile


Gruß,
Dani
Mitglied: ThorstenRay
ThorstenRay 01.08.2019 um 12:41:16 Uhr
Goto Top
das haben wir bereits getan.
Diese Helpdesk Mitarbeiter haben nur noch eingeschränkte Rechte.
Aber solche Dinge wie Kennwort zurücksetzten etc. müssen sie ja können.
Auch gibt es leider Notfallszenarien wo es kurzfristig notwendig ist, dass das Kennwort nicht abläuft...

Darum meine Frage wie ich das überwachen kann....
Mitglied: SeaStorm
SeaStorm 01.08.2019 aktualisiert um 12:53:25 Uhr
Goto Top
Hi

entweder du überwachst das Attribut per Script und prüfst halt alle paar Minuten ob sich eine Änderung ergeben hat

search-adaccount –passwordneverexpires | where {$_. enabled}
, oder du nutzt auf den DCs das User Auditing, dann bekommst du das als Event 642 und 4738 geliefert.


audit1
audit2

[Edit] Bild2 hatte falsche Audit Setting....
Mitglied: emeriks
emeriks 01.08.2019 aktualisiert um 13:16:37 Uhr
Goto Top
Hi,
Anmerkung zu @SeaStorm
Das muss man dann auf allen DC's der Domäne überwachen.
Und man könnte an diese Events einen Trigger hängen, welcher ein Script startet, welches für das geänderte Benutzerkonto pausschal das "Kennwort läuft nie ab" deaktiviert. Damit hätte man zumindest sichergestellt, dass es deaktiviert ist und bleibt.

E.
Mitglied: SeaStorm
SeaStorm 01.08.2019 um 14:31:04 Uhr
Goto Top
ja. Optimalerweise hat man einen Log oder SIEM Server der sich die Eventlogs abgreift und entsprechend schreit face-smile
Mitglied: C.R.S.
C.R.S. 02.08.2019 um 19:41:17 Uhr
Goto Top
Zitat von @emeriks:

Und man könnte an diese Events einen Trigger hängen, welcher ein Script startet, welches für das geänderte Benutzerkonto pausschal das "Kennwort läuft nie ab" deaktiviert. Damit hätte man zumindest sichergestellt, dass es deaktiviert ist und bleibt.

Läuft bei mir zeitbasiert und biegt solche Einstellungen gerade. Oft wird bei der Einrichtung ja auch was vergessen (der ursprüngliche Zweck war, User-IPs zu setzen und zu berichten).

Grüße
Richard