schmidii
18.08.2022
view1422
view5
0
Goto Top

Active Directory Benachrichtigung

FrageMicrosoftWindows Server
Hallo zusammen,

ist es möglich benachrichtigt zu werden wenn sich jemand als Administrator einloggt oder ein User mit Admin Rechten erstellt wird?
Mit nem Skript funktioniert dass natürlich, was ich aber nicht will. Hintergedanke dabei ist folgender: Falls sich jemand, der nicht sollte, Zugriff auf das AD verschaffen hat und sich beispielsweise nen User mit Admin Rechten erstellt hat, wird er nicht dem neuen User ein Logon Skript hinzufügen. Bedeutet ich brauch was anderes. Gibt es im AD vielleicht ein Standardfeature welches ich übersehen habe?

Gruß schmidii
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 3688489660

Url: https://administrator.de/contentid/3688489660

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
mininik
mininik 18.08.2022 um 14:20:04 Uhr
Goto Top
Setz dir nen Graylog auf, schieb die Events da hin und überwache nach Event-IDs. Feddisch und kein Hexenwerk.
2423392070
2423392070 18.08.2022 um 18:26:11 Uhr
Goto Top
Wir machen unter anderem eine stark vergleichbare Funktion mit System Center Orchestrator.

Der Orchestrator ist auch, mit Ausnahme einiger ausgewählter Personen, der einzige Weg bei uns User anzulegen.
99% unserer User legt der Helpdesk per Runbook an. Die Anforderung für den User kommt über Sharepoint rein vom Vorgesetzten des neuen Users.

Privilegierte User können bei uns nur wenige Admins anlegen und das wird konsequent gemonitored.
Philipp06
Philipp06 18.08.2022 um 18:58:21 Uhr
Goto Top
@mininik Ich habe Mal ein Graylog aufgesetzt... Und jetzt? Was muss ich da wir konfigurieren? Dokumentation seitens Graylog extremst kompliziert - ich sehr da überhaupt nicht durch.... Scheint nicht anfängerfreundlich.
SeaStorm
SeaStorm 18.08.2022 um 20:38:38 Uhr
Goto Top
Hi

Aktiviere erst mal die entsprechenden Security Audits an den DCs damit da auch Sinnvolle Infos rausfallen.
Dann Monitorst du die EventIDs 4728 + 4732 und Filterst da auf das Vorkommen von den zu Monitorenden Gruppen.
*Admin* z.B
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ...
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ...
surreal1
surreal1 18.08.2022 um 21:05:47 Uhr
Goto Top
Kannst in den eventlogs einstellen, das du bei einer bestimmten EventID eine Mail zugesandt bekommst, ohne spezielle dritte Tools.
FrageMicrosoftWindows Server
Mehr von schmidiischmidiiRustdesk - Fallback Serverschmidii - 1 KommentarschmidiiOneDrive Dateien am Terminalserverschmidii - 4 KommentareschmidiiExchange OWA Automatische Antwort mit Bildschmidii - 2 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 Kommentare