-
Mit Native AD Auditing
-
Mit ADAudit Plus
Melden Sie sich als Administrator bei der ADAudit Plus-Webkonsole an.
Navigieren Sie zur Kartei Berichte und wählen Sie im Abschnitt Gruppenverwaltung im linken Fensterbereich den gewünschten Bericht aus. Lassen Sie uns zum Beispiel den Bericht "Kürzlich erstellte Sicherheitsgruppen" auswählen.
Wählen Sie die Domäne aus und klicken Sie auf "Erzeugen".
Wählen Sie "Exportieren als", um den Bericht in einem der bevorzugten Formate (CSV, PDF, HTML, CSVDE und XLSX) zu exportieren.
Öffnen Sie die Verwaltungskonsole für Gruppenrichtlinien. Erstellen Sie ein neues GPO und bearbeiten Sie es → Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Überwachungsrichtlinie:
Account Management überwachen → Aktivieren Sie das Kontrollkästchen für Erfolg
Directory Service Zugriff überwachen → Aktivieren Sie das Kontrollkästchen für Erfolg
-Klicken Sie auf “Übernehmen”.
Navigieren Sie zu Sicherheitseinstellungsebene → Eigenschaften → Ereignisprotokoll:
Maximale Größe des Sicherheitsprotokolls → Festlegen auf 4.000.000 KB (oder 4 GB)
Aufbewahrungsmethode für das Sicherheitsprotokoll → Definieren Sie “Ereignisse nach Bedarf überschreiben”
Verknüpfen Sie das neue GPO: Navigieren Sie zu Gruppenrichtlinienverwaltung → Klicken Sie mit der rechten Maustaste auf die Domäne oder OU → Klicken Sie auf "Vorhandenes GPO verbinden" → Wählen Sie das neu erstellte GPO
Erzwingen Sie die Aktualisierung der Gruppenrichtlinien: Klicken Sie in "Gruppenrichtlinienverwaltung" mit der rechten Maustaste auf die definierte OU → Wählen Sie "Gruppenrichtlinienaktualisierung".
Öffnen Sie ADSI Edit → Klicken Sie mit der rechten Maustaste auf ADSI Edit → Verbinden Sie sich mit dem Standard-Namenskontext → Klicken Sie mit der rechten Maustaste auf das Domain DNS-Objekt mit Ihrem Domänennamen → Eigenschaften → Sicherheit → Erweitert → Überwachung → Prinzipal "Jeder" hinzufügen → Typ "Erfolg" → Gilt für "Dieses Objekt und abhängige Objekte" → Markieren Sie alle Kontrollkästchen außer "Volle Kontrolle, Inhalt auflisten, Alle Eigenschaften lesen, Leseberechtigungen" → Wählen Sie "OK"
Öffnen Sie Event Viewer → Filtern Sie das Sicherheitsprotokoll, um die Ereignis-IDs zu finden (Windows Server 2003/2008-2012):
4727, 4731, 4754, 4759, 4744, 4749 - Gruppe erstellt
4728, 4732, 4756, 4761, 4746, 4751 - Mitglied zu einer Gruppe hinzugefügt
4729, 4733, 4757, 4762, 4747, 4752 - Mitglied aus einer Gruppe entfernt
4730, 4734, 4758, 4748, 4753, 4763 - Gruppe gelöscht
4735, 4737, 4745, 4750, 4755, 4760 - Gruppe geändert
4662 - Eine Operation wurde an einem Objekt durchgeführt (Typ: Verzeichnisdienstzugriff).
Wird Ihnen das Native Auditing ein wenig zu viel?
Vereinfachen Sie die Active Directory-Überprüfung und -Berichterstellung mit ADAudit Plus.
Erhalten Sie Ihre kostenlose Testversion Voll funktionsfähige 30-Tage-TestversionNachfolgend finden Sie die Einschränkungen für die Überwachung von Änderungen in Active Directory-Gruppen mit nativer Überwachung (Native AD Auditing):
Die Einrichtung des nativen Auditing ist ein ziemlich langwieriger Prozess.
Echtzeitwarnungen können mit nativem Auditing nicht eingerichtet werden, und die kontinuierliche Suche nach Änderungen in Active Directory-Gruppen ist ein redundanter und fehleranfälliger Prozess für IT-Administratoren.
Es ist schwierig, den Bericht für verschiedene Zeitzonen und Datumsformate zu erstellen.
ADAudit Plus generiert den Bericht über Änderungen in Active Directory-Gruppen und zeigt ihn in einer einfachen und intuitiv gestalteten Benutzeroberfläche an. ADAudit Plus kann auch Warnungen generieren, die auf Bedingungen basieren, die vom IT-Team des Unternehmens festgelegt wurden.