Überwachen von wichtigen Active Directory Gruppen mit auslösen einer Mail bei Änderung

Hallo Kollegen,

ich bin auf der Suche nach einer Möglichkeit wichtige Active Directory Gruppen auf Veränderung (HinzufügenEntfernen) deren Mitglieder zu überwachen.
Sollte eine anpassung von mir ausgewählter Gruppen erfolgen so erhalte ich eine Mailinfo.

Ich habe das ganze bereits unter Windows 2008 R2 Domäne mit dem Aufgabenplaner ausprobiert., es funktioniert auch soweit jedoch kann ich nicht selectieren bei welcher Anpassung einer Gruppe der Trigger auslöst.
Ich reagiere momentan auf das Event 4728 jetzt wird mir natürlich alle anpassungen einer globalen Sicherheitgruppe gemeldet. Es sollten mir aber nur z.B. Domain Admin, Organisationsadmin etc. gemeldet werden.

Wer kann mir hier weiterhelfen mit bordmitteln oder Freeware dies so realisieren. Meine Recherche im Netzt brachte mich nicht weiter.

Ich habe noch eine Idee weis jedoch nicht wie ich diese Umsetzen kann im Aufgabenplaner kann man noch benutzerdefinierte Ereignisfilter setzen die im xml Format definiert werden. Ich bekomme aber leider die Syntax nicht richtig hin.
Bin für jeden Hinweis der eine Realisierung meines Vorhabens weiterbringt sehr dankbar.

Bin nach dieser Anleitung gegangen die auch soweit funktioniert jedoch alle globalen Securitygruppen gemeldet werden, was ich ja einschränken will..

http://winsysadm.net/security-group-monitoring/

Gruß Martin

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 252738

Url: https://administrator.de/contentid/252738

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

4 Kommentare

Neuester Kommentar

Moin.

im Aufgabenplaner kann man noch benutzerdefinierte Ereignisfilter setzen die im xml Format definiert werden. Ich bekomme aber leider die Syntax nicht richtig hin.

Lies mal Automatische Eventlogauswertung mit Filterung durch, da wird ähnliches versucht. Wenn Dich das nicht weiterbringt... Uwe (Colinardo) kommt bestimmt noch vorbei.

Ach, noch was: Du kannst auch einschränken, welche Gruppen überwacht werden. Dazu muss die ACL der Gruppen im Bereich Überwachung angepasst werden. Im Moment scheinen all Deine Gruppen überwacht zu werden, vermutlich durch Vererbung vom Domain Head.

Moin zusammen,
wie DWW bereits erwähnt hat sollte man in diesem Fall die Überwachungseinträge im ActiveDirectory (via ADSIEDit.msc oder in ADUC über Ansicht > "Erweiterte Features") auf die zu überwachenden Gruppen,Container oder OUs einschränken.
Das funktioniert IMHO aber nur wenn man in der SecurityPolicy stattdessen die Überwachung für den DS-Zugriff aktiviert und dann die Events 5136,5141,etc. überwacht, anstatt die Überwachung über Kontenverwaltung > Sicherheitsgruppenverwaltung überwachen zu machen, so wie du das jetzt im Moment machst.

Um mit deinen jetzigen Überwachungseinstellungen z.B. das Hinzufügen oder Entfernen von Mitgliedern in einer bestimmten Gruppe zu erfassen sähe das so aus

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[(EventID=4728 or EventID=4729) and (Task=13826)] and EventData[Data[@Name="TargetUsername"]="Domain Admins"]]</Select>  
  </Query>
</QueryList>

Das lässt sich natürlich um weitere Einträge via ODER-Verknüpfung erweitern.

Beispiel um zwei Gruppen zu überwachen:

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[(EventID=4728 or EventID=4729) and (Task=13826)] and EventData[Data[@Name="TargetUsername"] and (Data="Domain Admins" or Data="Enterprise Admins")]]</Select>  
  </Query>
</QueryList>

Für die Analyse welche Eigenschaften ein Event bietet ist die XML-Ansichtsseite welche bei Doppelklick auf einen Event auf dem Tab Details sichtbar ist, sehr hilfreich.