u0206084
Goto Top

Überwachen von wichtigen Active Directory Gruppen mit auslösen einer Mail bei Änderung

Hallo Kollegen,

ich bin auf der Suche nach einer Möglichkeit wichtige Active Directory Gruppen auf Veränderung (HinzufügenEntfernen) deren Mitglieder zu überwachen.
Sollte eine anpassung von mir ausgewählter Gruppen erfolgen so erhalte ich eine Mailinfo.

Ich habe das ganze bereits unter Windows 2008 R2 Domäne mit dem Aufgabenplaner ausprobiert., es funktioniert auch soweit jedoch kann ich nicht selectieren bei welcher Anpassung einer Gruppe der Trigger auslöst.
Ich reagiere momentan auf das Event 4728 jetzt wird mir natürlich alle anpassungen einer globalen Sicherheitgruppe gemeldet. Es sollten mir aber nur z.B. Domain Admin, Organisationsadmin etc. gemeldet werden.

Wer kann mir hier weiterhelfen mit bordmitteln oder Freeware dies so realisieren. Meine Recherche im Netzt brachte mich nicht weiter.

Ich habe noch eine Idee weis jedoch nicht wie ich diese Umsetzen kann im Aufgabenplaner kann man noch benutzerdefinierte Ereignisfilter setzen die im xml Format definiert werden. Ich bekomme aber leider die Syntax nicht richtig hin.
Bin für jeden Hinweis der eine Realisierung meines Vorhabens weiterbringt sehr dankbar.

Bin nach dieser Anleitung gegangen die auch soweit funktioniert jedoch alle globalen Securitygruppen gemeldet werden, was ich ja einschränken will..

http://winsysadm.net/security-group-monitoring/


Gruß Martin

Content-ID: 252738

Url: https://administrator.de/forum/ueberwachen-von-wichtigen-active-directory-gruppen-mit-ausloesen-einer-mail-bei-aenderung-252738.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

DerWoWusste
DerWoWusste 22.10.2014 um 13:38:11 Uhr
Goto Top
Moin.

im Aufgabenplaner kann man noch benutzerdefinierte Ereignisfilter setzen die im xml Format definiert werden. Ich bekomme aber leider die Syntax nicht richtig hin.
Lies mal Automatische Eventlogauswertung mit Filterung durch, da wird ähnliches versucht. Wenn Dich das nicht weiterbringt... Uwe (Colinardo) kommt bestimmt noch vorbei.
DerWoWusste
Lösung DerWoWusste 22.10.2014, aktualisiert am 10.11.2014 um 13:04:17 Uhr
Goto Top
Ach, noch was: Du kannst auch einschränken, welche Gruppen überwacht werden. Dazu muss die ACL der Gruppen im Bereich Überwachung angepasst werden. Im Moment scheinen all Deine Gruppen überwacht zu werden, vermutlich durch Vererbung vom Domain Head.
colinardo
Lösung colinardo 22.10.2014, aktualisiert am 10.11.2014 um 13:04:11 Uhr
Goto Top
Moin zusammen,
wie DWW bereits erwähnt hat sollte man in diesem Fall die Überwachungseinträge im ActiveDirectory (via ADSIEDit.msc oder in ADUC über Ansicht > "Erweiterte Features") auf die zu überwachenden Gruppen,Container oder OUs einschränken.
Das funktioniert IMHO aber nur wenn man in der SecurityPolicy stattdessen die Überwachung für den DS-Zugriff aktiviert und dann die Events 5136,5141,etc. überwacht, anstatt die Überwachung über Kontenverwaltung > Sicherheitsgruppenverwaltung überwachen zu machen, so wie du das jetzt im Moment machst.

Um mit deinen jetzigen Überwachungseinstellungen z.B. das Hinzufügen oder Entfernen von Mitgliedern in einer bestimmten Gruppe zu erfassen sähe das so aus
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[(EventID=4728 or EventID=4729) and (Task=13826)] and EventData[Data[@Name="TargetUsername"]="Domain Admins"]]</Select>  
  </Query>
</QueryList>
Das lässt sich natürlich um weitere Einträge via ODER-Verknüpfung erweitern.

Beispiel um zwei Gruppen zu überwachen:
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[(EventID=4728 or EventID=4729) and (Task=13826)] and EventData[Data[@Name="TargetUsername"] and (Data="Domain Admins" or Data="Enterprise Admins")]]</Select>  
  </Query>
</QueryList>

Für die Analyse welche Eigenschaften ein Event bietet ist die XML-Ansichtsseite welche bei Doppelklick auf einen Event auf dem Tab Details sichtbar ist, sehr hilfreich.

2309709ccd057fe2105efef41df8e471

Hier wird das XPath-Filtering-Prozedere auch ziemlich gut beschrieben, wenn man einmal durchgestiegen ist, ist das kein Hexenwerk mehr face-wink
http://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filter ...

Grüße Uwe
u0206084
u0206084 27.10.2014 um 18:06:53 Uhr
Goto Top
Vielen Dank

werds mir anschauen. Denke das hilft mir weiter.

Gruß Martin