Änderungen im AD protokollieren
Hallo Zusammen,
unser Admin(könnte ich auch gewesen sein, diesmal nicht) hat die Tage eine Änderung im Windows 2019 AD durchgeführt die sich nicht gleich bemerkbar gemacht hat sondern erst in ein paar Tagen. In diesem Fall hat er ein User aus einer Gruppe entfernt da er der Meinung war, er hat in der Gruppe nichts verloren.
Gibt es eigentlich ein Tool gerne auch Löhnware welches solche Änderungen nachvollziehbar macht?
Gruß Kostas
unser Admin(könnte ich auch gewesen sein, diesmal nicht) hat die Tage eine Änderung im Windows 2019 AD durchgeführt die sich nicht gleich bemerkbar gemacht hat sondern erst in ein paar Tagen. In diesem Fall hat er ein User aus einer Gruppe entfernt da er der Meinung war, er hat in der Gruppe nichts verloren.
Gibt es eigentlich ein Tool gerne auch Löhnware welches solche Änderungen nachvollziehbar macht?
Gruß Kostas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2686102703
Url: https://administrator.de/forum/aenderungen-im-ad-protokollieren-2686102703.html
Ausgedruckt am: 26.12.2024 um 17:12 Uhr
4 Kommentare
Neuester Kommentar
Servus,
selbst ist der Handwerker .
Überwachen von wichtigen Active Directory Gruppen mit auslösen einer Mail bei Änderung
Audit-Einträge auf die zu überwachenden OUs setzen und Auditing in der GPO aktivieren. Die Änderungen werden dann ins Security-Eventlog geschrieben.
Schön formatiert zur Auswertung kann man sich die Infos aus dem Eventlog mittels Powershell Skript in eine CSV ziehen
Grüße Uwe
selbst ist der Handwerker .
Überwachen von wichtigen Active Directory Gruppen mit auslösen einer Mail bei Änderung
Audit-Einträge auf die zu überwachenden OUs setzen und Auditing in der GPO aktivieren. Die Änderungen werden dann ins Security-Eventlog geschrieben.
Schön formatiert zur Auswertung kann man sich die Infos aus dem Eventlog mittels Powershell Skript in eine CSV ziehen
<#
Parse and Export ActiveDirectory Audit-Logs to CSV (@colinardo administrator.de)
#>
$event_id_register = @{
5136 = 'Object modified'
5137 = 'Object created'
5139 = 'Object moved'
5141 = 'Object deleted'
}
$result = foreach($event in (Get-WinEvent -LogName Security -FilterXPath '*[System[Task = 14081]]' | sort TimeCreated)){
try{
[xml]$xml = $event.toXML()
$obj = '' | select TimeCreated,Type,User,ObjectDN,ObjectClass,Attribute,AttributeValue,OperationType,OldObjectDN,NewObjectDN
$obj.TimeCreated = $event.TimeCreated
$obj.Type = $event_id_register[$event.id]
$obj.User = ($xml.Event.EventData.Data | ?{$_.Name -eq 'SubjectDomainName'}).innerText + "\" + ($xml.Event.EventData.Data | ?{$_.Name -eq 'SubjectUserName'}).innerText
$obj.ObjectClass = ($xml.Event.EventData.Data | ?{$_.Name -eq 'ObjectClass'}).innerText
switch ($event.Id){
5136 {
$obj.Attribute = ($xml.Event.EventData.Data | ?{$_.Name -eq 'AttributeLDAPDisplayName'}).innerText
$obj.AttributeValue = ($xml.Event.EventData.Data | ?{$_.Name -eq 'AttributeValue'}).innerText
$obj.OperationType = @{
'%%14674' = 'Property added'
'%%14675' = 'Property removed'
}[($xml.Event.EventData.Data | ?{$_.Name -eq 'OperationType'}).innerText]
}
5139 {
$obj.OldObjectDN = ($xml.Event.EventData.Data | ?{$_.Name -eq 'OldObjectDN'}).innerText
$obj.NewObjectDN = ($xml.Event.EventData.Data | ?{$_.Name -eq 'NewObjectDN'}).innerText
}
{$_ -in 5136,5137,5141} {
$obj.ObjectDN = ($xml.Event.EventData.Data | ?{$_.Name -eq 'ObjectDN'}).innerText
}
}
$obj
}catch{}
}
$result | export-csv .\report.csv -Delimiter ";" -NoType -Encoding UTF8 -verbose
Grüße Uwe
Hi,
Ich werfe mal Netwrix in den Topf.
https://www.netwrix.de/active_directory_auditing.html
Mit freundlichen Grüßen
Ich werfe mal Netwrix in den Topf.
https://www.netwrix.de/active_directory_auditing.html
Mit freundlichen Grüßen
Servus zusammen,
ich habe nach dieser Anleitung eine neue GPO unter "Domain Controllers" auf unserem AD erstellt und dann wie in der Anleitung beschrieben unter "Überwachungsrichtlinien > DS-Zugriff > Verzeichnisdienständerungen überwachen" aktiviert.
https://www.windowspro.de/wolfgang-sommergut/gpupdate-gruppenrichtlinien ...
Jetzt komm ich aber nicht mehr weiter. Ich habe keine Ahnung wie ich jetzt auslesen kann, ob mein Computerobjekt XYZ9000 oder meine Sicherheitsgruppe "ALL_USERS" umbenannt worden ist, verschoben, gelöscht oder was auch immer.
Ich hoffe Ihr könnt mir hier noch einmal weiterhelfen, dass wäre echt super face-smile
ich habe nach dieser Anleitung eine neue GPO unter "Domain Controllers" auf unserem AD erstellt und dann wie in der Anleitung beschrieben unter "Überwachungsrichtlinien > DS-Zugriff > Verzeichnisdienständerungen überwachen" aktiviert.
https://www.windowspro.de/wolfgang-sommergut/gpupdate-gruppenrichtlinien ...
Jetzt komm ich aber nicht mehr weiter. Ich habe keine Ahnung wie ich jetzt auslesen kann, ob mein Computerobjekt XYZ9000 oder meine Sicherheitsgruppe "ALL_USERS" umbenannt worden ist, verschoben, gelöscht oder was auch immer.
Ich hoffe Ihr könnt mir hier noch einmal weiterhelfen, dass wäre echt super face-smile