-
Mit Native AD Auditing
-
Mit ADAudit Plus
Melden Sie sich als Administrator bei der ADAudit Plus-Webkonsole an.
Navigieren Sie zum Reiter Berichte und wählen Sie im Abschnitt Konfigurationsprüfung im linken Bereich den Bericht “FSMO-Rollenänderungen”.
Wählen Sie die Domäne aus und klicken Sie auf “Erzeugen”.
Wählen Sie “Exportieren als”, um den Bericht in einem der bevorzugten Formate (CSV, PDF, HTML, CSVDE und XLSX) zu exportieren.
Schritt 1: DS-Objekte konfigurieren
Führen Sie die folgenden Schritte aus, um die Überprüfung von Directory Service-Objekten zu aktivieren:
Gehen Sie zum Startmenü → Verwaltung.
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
Gehen Sie zu Forest → Domänen → Domänencontroller.
Klicken Sie anschließend mit der rechten Maustaste auf die Richtlinie "Standard-Domänencontroller”. Klicken Sie im Kontextmenü auf "Bearbeiten", um das Fenster Gruppenrichtlinien-Verwaltungseditor zu öffnen.
Gehen Sie im Editor-Fenster zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Überwachungsrichtlinienkonfiguration → Überwachungsrichtlinien.
Klicken Sie in den Überwachungsrichtlinien auf “DS Access". Die folgenden Richtlinien werden angezeigt:
Audit Directory Service Access
Audit Directory Service Änderungen
Audit Verzeichnisdienst-Replikation
Audit Directory Service Replication
Doppelklicken Sie auf jede dieser Richtlinien und aktivieren Sie sowohl die "Erfolgs-" als auch die "Misserfolgs"-Überwachung, wie in der Abbildung unten dargestellt.
Schritt 2: Konfigurieren Sie die AD-Überwachung über ADSI Edit
Führen Sie die folgenden Schritte aus, um Active Directory Auditing über ADSI Edit zu ermöglichen:
Öffnen Sie das Fenster ADSI Edit.
Klicken Sie mit der rechten Maustaste auf die Stammdatei "ADSI Edit" im linken Fensterbereich und wählen Sie die Option "Verbinden mit" aus dem Kontextmenü. Verbinden Sie sich mit dem aktuellen Domänencontroller (DC), der mit "Standard-Namenskontext" erscheint.
Klicken Sie auf "OK", um die Verbindung herzustellen.
Im linken Fenster erscheint eine Baumstruktur. Doppelklicken Sie auf den Punkt "Standard-Namenskontext" und gehen Sie zu "DC=www,DC=domain,DC=com" → "CN=System" → "CN=Policies".
Klicken Sie mit der rechten Maustaste auf "CN=Policies" und navigieren Sie zu "Eigenschaften".
Gehen Sie zum Reiter Sicherheit und klicken Sie auf die Schaltfläche "Erweitert", um die erweiterten Sicherheitseinstellungen aufzurufen.
Navigieren Sie in den erweiterten Sicherheitseinstellungen zum Reiter Überwachung.
-Fügen Sie den Benutzer hinzu, für den das Auditing aktiviert werden soll. Es erscheint das folgende Fenster.
Geben Sie den Namen des Benutzers ein, für den Sie das Auditing aktivieren möchten. Um die Änderungen aller Benutzer zu prüfen, geben Sie "Jeder" ein.
Klicken Sie auf "Namen prüfen", um den Benutzernamen zu bestätigen.
Klicken Sie auf "OK", um den Benutzer hinzuzufügen. Das Dialogfeld Überwachungseintrag für Richtlinien wird angezeigt.
Wählen Sie die Einträge, für die die Aktion des Benutzers geprüft werden soll. Wählen Sie "Volle Kontrolle", um sowohl "erfolgreiche" als auch "fehlgeschlagene" Ereignisse zu überwachen.
Aktivieren Sie das Kontrollkästchen "Diese Überwachungseinträge nur auf Objekte und/oder Container innerhalb dieses Containers anwenden", um die Änderungen auch auf die untergeordneten Objekte anzuwenden.
Klicken Sie auf "OK", um diese Überwachungseinträge anzuwenden. Der Reiter Überwachung der erweiterten Sicherheitseinstellungen wird angezeigt. Klicken Sie auf "Übernehmen" und "OK", um die Überwachungseinstellungen zu übernehmen.
Schritt 3: Anzeigen von Ereignissen
Klicken Sie im Fenster Event Viewer auf "Windows-Protokolle" und wählen Sie "Sicherheitsprotokolle".
Klicken Sie auf "Aktuelles Protokoll filtern" unter Aktion in der rechten Leiste.
Suchen Sie nach der Ereignis-ID 5136, die Berechtigungsänderungen in Active Directory anzeigt.
Doppelklicken Sie auf ein bestimmtes Ereignis, um dessen "Ereigniseigenschaften" anzuzeigen.
Wird Ihnen das Native Auditing ein wenig zu viel?
Vereinfachen Sie die Active Directory-Überprüfung und -Berichterstellung mit ADAudit Plus.
Erhalten Sie Ihre kostenlose Testversion Voll funktionsfähige 30-Tage-TestversionNachfolgend finden Sie die Einschränkungen bei der Verfolgung von Änderungen an der Rolle von Domänencontrollern, die mit Native Auditing durchgeführt wurden:
- Der in der Ereignisanzeige erhaltene Bericht ist nicht leserfreundlich. Details, die sich auf "Wer, Was, Wann und Wo" beziehen, werden nicht an derselben Stelle angezeigt, und Vorher- und Nachher-Werte sind nicht nebeneinander verfügbar.
- Es ist schwierig, den Bericht für verschiedene Zeitzonen und Datumsformate zu erstellen.
ADAudit Plus generiert den Bericht über die an der Domänencontrollerrolle vorgenommenen Änderungen und zeigt ihn in einer einfachen und intuitiv gestalteten Benutzeroberfläche an.