madmax93
Goto Top

Logfile zu gelöschten Objekten im AD

Hallo zusammen,

wir sind auf das Problem gestoßen, dass ein kürzlich erstellter Benutzer nach etwa 6 Stunden automatisch gelöscht wurde. Da wir nur zu zweit im IT-Team sind, sind wir sicher, dass wir nicht dafür verantwortlich sind. Nun fragen wir uns, ob das Active Directory überhaupt solche Vorfälle protokolliert und falls nicht, wie wir dies künftig protokollieren können.

Im Internet finde ich viele Beiträge dazu, aber sie sind ziemlich veraltet. Wir nutzen einen herkömmlichen Windows Server 2019.

Muss man eine bestimmte Rolle aktivieren, um so etwas zu überwachen? Welche Best Practices gibt es dafür?

Viele Grüße,
Max93

Content-Key: 21650132218

Url: https://administrator.de/contentid/21650132218

Printed on: April 13, 2024 at 11:04 o'clock

Member: tagol01
tagol01 Feb 05, 2024 at 14:40:08 (UTC)
Goto Top
Member: erikro
erikro Feb 05, 2024 at 15:28:38 (UTC)
Goto Top
Moin,

Zitat von @MadMax93:

Hallo zusammen,

wir sind auf das Problem gestoßen, dass ein kürzlich erstellter Benutzer nach etwa 6 Stunden automatisch gelöscht wurde. Da wir nur zu zweit im IT-Team sind, sind wir sicher, dass wir nicht dafür verantwortlich sind.

Wenn das wirklich so ist, dann habt Ihr ein ganz anderes Problem als fehlende Logs. Im AD werden keine User "automatisch gelöscht". Allenfalls werden sie automatisch deaktiviert, wenn das Konto mit einem Verfallsdatum versehen wurde. Aber gelöscht werden sie nur, wenn ein Admin das tut. Es gibt m. E. nur zwei Methoden, um das "automatisch" zu löschen. Man bastelt sich ein Skript, dass regelmäßig nach deaktivierten Konten sucht und diese nach bestimmten Kriterien automatisch löscht. Aber auch das ist: "Der Admin hat's gemacht." Oder der Admin weiß nicht, dass das Löschen im Exchange auch gleich den ganzen User mit in die Tonne tritt.

Wenn es also wirklich so war, dass der User ohne Euer Zutun nach sechs Stunden verschwunden ist, dann solltet Ihr dringend schauen, wer denn da noch administrativen Zugriff auf Euer AD hat.

Zum Thema selbst hat ja @tagol01 schon einen Beitrag gepostet, der alles notwendige enthält.

Liebe Grüße

Erik
Member: mbehrens
mbehrens Feb 05, 2024 at 16:43:34 (UTC)
Goto Top
Zitat von @erikro:

Wenn es also wirklich so war, dass der User ohne Euer Zutun nach sechs Stunden verschwunden ist, dann solltet Ihr dringend schauen, wer denn da noch administrativen Zugriff auf Euer AD hat.

Oder mal nach einer defekten Replikation zwischen DCs suchen.
Member: jsysde
jsysde Feb 05, 2024 at 19:11:52 (UTC)
Goto Top
Moin.

AD-Papierkorb aktivieren?

Cheers,
jsysde
Member: MadMax93
MadMax93 Feb 28, 2024 at 09:03:46 (UTC)
Goto Top
Servus zusammen,

wir haben den Fehler nicht gefunden, aber vermutlich war es ein versehentlicher Vorgang.

Vielmehr interessiert mich das Thema der Änderungsprotokollierung. Ich habe nach dieser Anleitung eine neue GPO unter "Domain Controllers" auf unserem AD erstellt und dann wie in der Anleitung beschrieben unter "Überwachungsrichtlinien > DS-Zugriff > Verzeichnisdienständerungen überwachen" aktiviert.

https://www.windowspro.de/wolfgang-sommergut/gpupdate-gruppenrichtlinien ...

Jetzt komm ich aber nicht mehr weiter. Ich habe keine Ahnung wie ich jetzt auslesen kann, ob mein Computerobjekt XYZ9000 oder meine Sicherheitsgruppe "ALL_USERS" umbenannt worden ist, verschoben, gelöscht oder was auch immer.

Ich hoffe Ihr könnt mir hier noch einmal weiterhelfen, dass wäre echt super face-smile