kostas
04.05.2022, aktualisiert am 29.02.2024
view8063
view4
1
Goto Top

Änderungen im AD protokollieren

gelöstFrageMicrosoftWindows Server
Hallo Zusammen,

unser Admin(könnte ich auch gewesen sein, diesmal nicht) face-smile hat die Tage eine Änderung im Windows 2019 AD durchgeführt die sich nicht gleich bemerkbar gemacht hat sondern erst in ein paar Tagen. In diesem Fall hat er ein User aus einer Gruppe entfernt da er der Meinung war, er hat in der Gruppe nichts verloren.

Gibt es eigentlich ein Tool gerne auch Löhnware welches solche Änderungen nachvollziehbar macht?

Gruß Kostas
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 2686102703

Url: https://administrator.de/contentid/2686102703

Ausgedruckt am: 24.11.2024 um 14:11 Uhr

4 Kommentare
Neuester Kommentar
Goto Top
Spirit-of-Eli
Spirit-of-Eli 04.05.2022 um 17:25:17 Uhr
Goto Top
Moin,

der AD Manger von Managed Engine kann so was soweit ich weiß. Wahrscheinlich aber auch nur die Änderungen, welche auch über dieses Tool durchgeführt wurden.

Gruß
Spirit
colinardo
Lösung colinardo 04.05.2022 aktualisiert um 18:14:06 Uhr
Goto Top
Servus,
selbst ist der Handwerker face-smile.

Überwachen von wichtigen Active Directory Gruppen mit auslösen einer Mail bei Änderung

Audit-Einträge auf die zu überwachenden OUs setzen und Auditing in der GPO aktivieren. Die Änderungen werden dann ins Security-Eventlog geschrieben.

Schön formatiert zur Auswertung kann man sich die Infos aus dem Eventlog mittels Powershell Skript in eine CSV ziehen
<#
    Parse and Export ActiveDirectory Audit-Logs to CSV (@colinardo administrator.de)
#>
$event_id_register = @{
    5136 = 'Object modified'  
    5137 = 'Object created'  
    5139 = 'Object moved'  
    5141 = 'Object deleted'  
}
$result = foreach($event in (Get-WinEvent -LogName Security -FilterXPath '*[System[Task = 14081]]' | sort TimeCreated)){  
    try{
        [xml]$xml = $event.toXML()
        $obj = '' | select TimeCreated,Type,User,ObjectDN,ObjectClass,Attribute,AttributeValue,OperationType,OldObjectDN,NewObjectDN  
    
        $obj.TimeCreated = $event.TimeCreated
        $obj.Type = $event_id_register[$event.id]
        $obj.User = ($xml.Event.EventData.Data | ?{$_.Name -eq 'SubjectDomainName'}).innerText + "\" + ($xml.Event.EventData.Data | ?{$_.Name -eq 'SubjectUserName'}).innerText  
        $obj.ObjectClass = ($xml.Event.EventData.Data | ?{$_.Name -eq 'ObjectClass'}).innerText  

        switch ($event.Id){
            5136 {
                $obj.Attribute = ($xml.Event.EventData.Data | ?{$_.Name -eq 'AttributeLDAPDisplayName'}).innerText  
                $obj.AttributeValue = ($xml.Event.EventData.Data | ?{$_.Name -eq 'AttributeValue'}).innerText  
                $obj.OperationType = @{
                    '%%14674' = 'Property added'  
                    '%%14675' = 'Property removed'  
                }[($xml.Event.EventData.Data | ?{$_.Name -eq 'OperationType'}).innerText]  
            }
            5139 {
                $obj.OldObjectDN = ($xml.Event.EventData.Data | ?{$_.Name -eq 'OldObjectDN'}).innerText  
                $obj.NewObjectDN = ($xml.Event.EventData.Data | ?{$_.Name -eq 'NewObjectDN'}).innerText  
            }
            {$_ -in 5136,5137,5141} {
                $obj.ObjectDN = ($xml.Event.EventData.Data | ?{$_.Name -eq 'ObjectDN'}).innerText  
            }
        }
        $obj
     }catch{}
}
$result | export-csv .\report.csv -Delimiter ";" -NoType -Encoding UTF8 -verbose

Grüße Uwe
heart5
7Gizmo7
7Gizmo7 04.05.2022 um 20:18:26 Uhr
Goto Top
Hi,

Ich werfe mal Netwrix in den Topf.

https://www.netwrix.de/active_directory_auditing.html

Mit freundlichen Grüßen
MadMax93
MadMax93 28.02.2024 um 10:10:29 Uhr
Goto Top
Servus zusammen,

ich habe nach dieser Anleitung eine neue GPO unter "Domain Controllers" auf unserem AD erstellt und dann wie in der Anleitung beschrieben unter "Überwachungsrichtlinien > DS-Zugriff > Verzeichnisdienständerungen überwachen" aktiviert.

https://www.windowspro.de/wolfgang-sommergut/gpupdate-gruppenrichtlinien ...

Jetzt komm ich aber nicht mehr weiter. Ich habe keine Ahnung wie ich jetzt auslesen kann, ob mein Computerobjekt XYZ9000 oder meine Sicherheitsgruppe "ALL_USERS" umbenannt worden ist, verschoben, gelöscht oder was auch immer.

Ich hoffe Ihr könnt mir hier noch einmal weiterhelfen, dass wäre echt super face-smile
gelöstFrageMicrosoftWindows Server
Mehr von KostasKostasWindows Server 2019 Start-Button reagiert nichtKostas - 21 KommentareKostasAruba 1930 von Cloud- zurück auf lokales- Management umschaltenKostas - 9 KommentareKostasBenutzer richtig ersetzenKostas - 28 KommentareKostasHP ArubaOS-CX (6000er Serie) WebUI sehr minimalistischKostas - 11 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 15 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 11 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 Kommentare