Aus dem Alltag eines IT'lers

AD-Auditing auf Useraccounts

Job- und Support-Alltag Wir stellen immer wieder fest, dass User- oder Maschinen-Accounts von einer OU in eine andere verschoben wurden, ohne dass wir dies getan oder veranlasst hatten.
Irgendjemand muss also immer mal wieder unsere Accounts verschieben - weshalb auch immer.
Da wir das AD mit der Zentrale teilen, kann also hier irgendjemand zu Werke gegangen sein - weshalb auch immer.
Da ich jetzt sehen will wer das ist, musste ich das Auditing aktivieren, um die entsprechende Anzeige (Event-ID: 566) im Bereich "Security" des Eventlogs auf dem DC zu erhalten.
Nach der Änderung der Einstellungen kann ich's nun sehen und werde mir bei auftauchen der Event-ID 566 eine entsprechende Meldung zuschicken lassen.
Dann bin ich mal gespannt, welchen Schieber ich da erwische.

Falls es jemand nachmachen will, nachfolgend kurz die einzelnen Schritte sowie der Link zu einem Tool, das die Ergebnisse ebenfalls ausgibt, den Namen des "Verursachers" hingegen nur in der Bezahl-Variante.

Anleitung:

1. Im AD die Gruppe für Benutzer und Computer öffnen und sicherstellen, dass die erweiterte Ansicht aktiviert ist.
2. Anschließend die Eigenschaften der Domain aufrufen und Reiter "Sicherheit" auswählen.
3. Die Schaltfläche "Erweitert" anklicken.
4. Den Auditing-Reiter auswählen und und Domain Users auswählen.
5. Im Reiter "Objetcs" unter "Access:" "Delete" auswählen/abhaken

Wenn jetzt noch das Auditing auf die Domain zugelassen ist, sollte man sehen wer die Änderung an den User-Accounts vorgenommen hat.

Tool:

Netwrix AD Change Reporter

No comments

Add Comment

E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
To leave a comment you must approve it via e-mail, which will be sent to your address after submission.
Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
BBCode format allowed
Was ergibt 17+4 ?

Submitted comments will be subject to moderation before being displayed.