6
Überwachung spezieller Eigenschaften Attribute im AD
Hallo zusammen,
ich habe aktuell das Problem und daraus resultierende Anforderung bestimmte User in unserer ActiveDirectory Umgebung zu überwachen.
Und zwar geht es um bestimmte Benutzer im Helpdesk die eingeschränkte Rechte im AD haben.
Es kam leider immer wieder in der Vergangenheit vor, dass diese Mitarbeiter bei "bestimmten" Benutzern oder bei sich selbst
das Flag im Reiter Konto "Kennwort läuft nie ab" gesetzt haben.
Somit hebeln diese User die Kennwortrichtlinie aus....was mir gar nicht gefällt.
Jetzt habe ich schon geschaut ob ich eine solche Änderung über den Eventviewer auslesen könnte und mich somit automatisch
benachrichtigten lassen könnte.
Aber so wie es aussieht wird allenfalls protokolliert dass es eine Änderung gegeben hat - aber eben nicht zu diesem speziellen Punkt.
Habt ihr eine Idee wie ich eine Überwachung etablieren könnte, so dass ich in solchen Fällen automatisch
benachrichtigt werden.
Beispielsweise wenn Mitglieder in einer bestimmten AD-Gruppe das Flag "Kennwort läuft nie ab" gesetzt bekommen.
Das macht natürlich auch nur Sinn wenn in dieser Beachrichtigung auch der Benutzer drin steht, der diese Änderung vorgenommen hat....
Sonst können keinen "erzieherischen Maßnahmen" erfolgen.
Besten Dank schon mal.
Viele Grüße
Thorsten Ray
ich habe aktuell das Problem und daraus resultierende Anforderung bestimmte User in unserer ActiveDirectory Umgebung zu überwachen.
Und zwar geht es um bestimmte Benutzer im Helpdesk die eingeschränkte Rechte im AD haben.
Es kam leider immer wieder in der Vergangenheit vor, dass diese Mitarbeiter bei "bestimmten" Benutzern oder bei sich selbst
das Flag im Reiter Konto "Kennwort läuft nie ab" gesetzt haben.
Somit hebeln diese User die Kennwortrichtlinie aus....was mir gar nicht gefällt.
Jetzt habe ich schon geschaut ob ich eine solche Änderung über den Eventviewer auslesen könnte und mich somit automatisch
benachrichtigten lassen könnte.
Aber so wie es aussieht wird allenfalls protokolliert dass es eine Änderung gegeben hat - aber eben nicht zu diesem speziellen Punkt.
Habt ihr eine Idee wie ich eine Überwachung etablieren könnte, so dass ich in solchen Fällen automatisch
benachrichtigt werden.
Beispielsweise wenn Mitglieder in einer bestimmten AD-Gruppe das Flag "Kennwort läuft nie ab" gesetzt bekommen.
Das macht natürlich auch nur Sinn wenn in dieser Beachrichtigung auch der Benutzer drin steht, der diese Änderung vorgenommen hat....
Sonst können keinen "erzieherischen Maßnahmen" erfolgen.
Besten Dank schon mal.
Viele Grüße
Thorsten Ray
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 480359
Url: https://administrator.de/contentid/480359
Ausgedruckt am: 25.11.2024 um 15:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
warum arbeitet du nicht mit Delegierungen für den Service/Helpdesk? Somit kann der Benutzer nur Parameter/Eigenschaften ändern, für die er berechtigt ist. Dann kannst du dir das Überwachen, etc... sparen und hast gleich eine Dokumentation, wer was darf.
Gruß,
Dani
warum arbeitet du nicht mit Delegierungen für den Service/Helpdesk? Somit kann der Benutzer nur Parameter/Eigenschaften ändern, für die er berechtigt ist. Dann kannst du dir das Überwachen, etc... sparen und hast gleich eine Dokumentation, wer was darf.
Gruß,
Dani
das haben wir bereits getan.
Diese Helpdesk Mitarbeiter haben nur noch eingeschränkte Rechte.
Aber solche Dinge wie Kennwort zurücksetzten etc. müssen sie ja können.
Auch gibt es leider Notfallszenarien wo es kurzfristig notwendig ist, dass das Kennwort nicht abläuft...
Darum meine Frage wie ich das überwachen kann....
Diese Helpdesk Mitarbeiter haben nur noch eingeschränkte Rechte.
Aber solche Dinge wie Kennwort zurücksetzten etc. müssen sie ja können.
Auch gibt es leider Notfallszenarien wo es kurzfristig notwendig ist, dass das Kennwort nicht abläuft...
Darum meine Frage wie ich das überwachen kann....
Hi
entweder du überwachst das Attribut per Script und prüfst halt alle paar Minuten ob sich eine Änderung ergeben hat
, oder du nutzt auf den DCs das User Auditing, dann bekommst du das als Event 642 und 4738 geliefert.
[Edit] Bild2 hatte falsche Audit Setting....
entweder du überwachst das Attribut per Script und prüfst halt alle paar Minuten ob sich eine Änderung ergeben hat
search-adaccount –passwordneverexpires | where {$_. enabled}[Edit] Bild2 hatte falsche Audit Setting....
Hi,
Anmerkung zu @SeaStorm
Das muss man dann auf allen DC's der Domäne überwachen.
Und man könnte an diese Events einen Trigger hängen, welcher ein Script startet, welches für das geänderte Benutzerkonto pausschal das "Kennwort läuft nie ab" deaktiviert. Damit hätte man zumindest sichergestellt, dass es deaktiviert ist und bleibt.
E.
Anmerkung zu @SeaStorm
Das muss man dann auf allen DC's der Domäne überwachen.
Und man könnte an diese Events einen Trigger hängen, welcher ein Script startet, welches für das geänderte Benutzerkonto pausschal das "Kennwort läuft nie ab" deaktiviert. Damit hätte man zumindest sichergestellt, dass es deaktiviert ist und bleibt.
E.
ja. Optimalerweise hat man einen Log oder SIEM Server der sich die Eventlogs abgreift und entsprechend schreit
Zitat von @emeriks:
Und man könnte an diese Events einen Trigger hängen, welcher ein Script startet, welches für das geänderte Benutzerkonto pausschal das "Kennwort läuft nie ab" deaktiviert. Damit hätte man zumindest sichergestellt, dass es deaktiviert ist und bleibt.
Und man könnte an diese Events einen Trigger hängen, welcher ein Script startet, welches für das geänderte Benutzerkonto pausschal das "Kennwort läuft nie ab" deaktiviert. Damit hätte man zumindest sichergestellt, dass es deaktiviert ist und bleibt.
Läuft bei mir zeitbasiert und biegt solche Einstellungen gerade. Oft wird bei der Einrichtung ja auch was vergessen (der ursprüngliche Zweck war, User-IPs zu setzen und zu berichten).
Grüße
Richard
