schmidii
Goto Top

Active Directory Benachrichtigung

Hallo zusammen,

ist es möglich benachrichtigt zu werden wenn sich jemand als Administrator einloggt oder ein User mit Admin Rechten erstellt wird?
Mit nem Skript funktioniert dass natürlich, was ich aber nicht will. Hintergedanke dabei ist folgender: Falls sich jemand, der nicht sollte, Zugriff auf das AD verschaffen hat und sich beispielsweise nen User mit Admin Rechten erstellt hat, wird er nicht dem neuen User ein Logon Skript hinzufügen. Bedeutet ich brauch was anderes. Gibt es im AD vielleicht ein Standardfeature welches ich übersehen habe?

Gruß schmidii

Content-Key: 3688489660

Url: https://administrator.de/contentid/3688489660

Ausgedruckt am: 03.10.2022 um 13:10 Uhr

Mitglied: mininik
mininik 18.08.2022 um 14:20:04 Uhr
Goto Top
Setz dir nen Graylog auf, schieb die Events da hin und überwache nach Event-IDs. Feddisch und kein Hexenwerk.
Mitglied: unbelanglos
unbelanglos 18.08.2022 um 18:26:11 Uhr
Goto Top
Wir machen unter anderem eine stark vergleichbare Funktion mit System Center Orchestrator.

Der Orchestrator ist auch, mit Ausnahme einiger ausgewählter Personen, der einzige Weg bei uns User anzulegen.
99% unserer User legt der Helpdesk per Runbook an. Die Anforderung für den User kommt über Sharepoint rein vom Vorgesetzten des neuen Users.

Privilegierte User können bei uns nur wenige Admins anlegen und das wird konsequent gemonitored.
Mitglied: Philipp06
Philipp06 18.08.2022 um 18:58:21 Uhr
Goto Top
@mininik Ich habe Mal ein Graylog aufgesetzt... Und jetzt? Was muss ich da wir konfigurieren? Dokumentation seitens Graylog extremst kompliziert - ich sehr da überhaupt nicht durch.... Scheint nicht anfängerfreundlich.
Mitglied: SeaStorm
SeaStorm 18.08.2022 um 20:38:38 Uhr
Goto Top
Hi

Aktiviere erst mal die entsprechenden Security Audits an den DCs damit da auch Sinnvolle Infos rausfallen.
Dann Monitorst du die EventIDs 4728 + 4732 und Filterst da auf das Vorkommen von den zu Monitorenden Gruppen.
*Admin* z.B
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ...
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ...
Mitglied: surreal1
surreal1 18.08.2022 um 21:05:47 Uhr
Goto Top
Kannst in den eventlogs einstellen, das du bei einer bestimmten EventID eine Mail zugesandt bekommst, ohne spezielle dritte Tools.