So erzeugen Sie einen Bericht mit Details zu gelöschten Active-Directory-Objekten

Zum Löschen von AD-Objekten sind grundsätzlich Administratorberechtigungen erforderlich (oder zumindest sollte dies so sein). Daher ist es im Falle einer verdächtigen Löschung unbedingt erforderlich, den Verursacher herauszufinden. Ein solcher unautorisierter Benutzer kann ein gewaltiges Sicherheitsrisiko darstellen – und je schneller der Betreffende aufgespürt wird, desto geringer fällt gewöhnlich der Schaden aus.

Wenn der nativen AD-Umgebung ist es selbst mit Windows PowerShell nicht ohne weitere Hilfsmittel möglich, einen zweckdienlichen Bericht zu erzeugen. Administratoren müssen mehrere unterschiedliche Anwendungen einsetzen, um an die gesuchten Informationen zu gelangen. Mit ADAudit Plus hingegen rufen Sie den passenden Bericht in nur wenigen Minuten ab. Dies ist möglich, weil ADAudit Plus bereits unzählige vorgefertigte Berichte mitbringt, die Sie tatkräftig bei allgemeinen Überwachungsaufgaben im gesamten Netzwerk unterstützen. Hier ein Vergleich der Verfahren zum Herausfinden eines Benutzers, der ein Computerobjekt löschte – mit Windows PowerShell und ADAudit Plus.

Mit Windows PowerShell

Dieses Verfahren nutzt PowerShell zum Auflisten der gelöschten Objekte, die Eingabeaufforderung zum Herausfinden weiterer Details zum Objekt, letztendlich die Ereignisanzeige zum Lokalisieren des Ereignisses und des Benutzers, der dafür verantwortlich zeichnete.

  • Identifizieren Sie die relevante Domäne.
  • Bestimmen Sie die Attribute, die im Bericht gebraucht werden. Beispielsweise der Definierte Name (DN), die Zeitspanne in Tagen, die bei der Abfrage berücksichtigt werden soll, und so weiter.
  • Wählen Sie den Domänencontroller, zu dem der Bericht erzeugt werden soll.
  • Schreiben Sie den Code. Einen Beispielcode finden Sie am Ende dieses Abschnitts.
  • Kompilieren Sie das Skript.
  • Führen Sie dieses in Windows PowerShell aus.
  • Wählen Sie den gewünschten Computer aus der Auflistung gelöschter Computer. Kopieren Sie den definierten Namen (DN) des gelöschten Objektes. Der DN wird zum Ausführen eines Befehls über die Eingabeaufforderung verwendet, der weitere Details zum gelöschten Objekt anzeigen kann.
  • Öffnen Sie die Active-Directory-Ereignisanzeige, verwenden Sie die in den vorherigen Schritten gewonnenen Daten zum Filtern der Löschereignisse und letztendlich zum Ermitteln des gelöschten Computerobjektes.

 

 Copied
Get-Adobject -includedeletedobjects -filter{objectclass -eq "computer" -and isdeleted -eq$true}
Zum Kopieren des gesamten Skriptes klicken

Kopieren Sie den DN des zutreffenden gelöschten Objektes aus den ausgegebenen Daten.

Öffnen Sie nun die Eingabeaufforderung, geben Sie Folgendes ein, tragen Sie dabei den Namen Ihres Domänencontrollers und den definierten Namen des gelöschten Objektes an den richtigen Stellen ein: repadmin /showobjmeta DC-Name "DN des Computerobjektes"

Auf diese Weise erhalten Sie Datum und Uhrzeit der Löschung. Nun können Sie den Zeitpunkt zum Filtern der Ereignisse in der Active-Directory-Ereignisanzeige verwenden und letztendlich herausfinden, wer das AD-Objekt löschte.

Mit ADAudit Plus

  • Öffnen Sie ADAudit Plus, wechseln Sie zu Berichte > Computerverwaltung > Kürzlich gelöschte Computer – schon erhalten Sie einen detaillierten Bericht.
  • Wählen Sie die gewünschte Domäne und Organisationseinheit, klicken Sie auf Erzeugen.
  • Wählen Sie „Exportieren“ zum Exportieren des Berichtes im gewünschten Format (CSV, PDF, HTML, CSVDE und XLSX).

Bildschirmabbildung

powershell-find-who-deleted-ad-object

Es gibt zahlreiche Einschränkungen beim Einsatz von Windows PowerShell, wenn es darum geht, Details zu gelöschten Objekten herauszufinden. Unter anderem:

  • PowerShell-Skripte können nur mit Computern ausgeführt werden, die über die Active-Directory-Domänendienste-Rolle verfügen.
  • Zum Abruf der gewünschten Daten müssen (in unserem Beispielfall) mehrere unterschiedliche Anwendungen eingesetzt werden.
  • Falls die Ausgabe in einem anderen Format erfolgen soll, müssen die Skripte entsprechend umgeschrieben werden.
  • Der Einsatz weiterer Filter erhöht die Komplexität des Skriptes weiter.

ADAudit Plus hingegen liefert die gewünschten Informationen schnell, einfach und mit nur wenigen Mausklicks. Dies ist möglich, weil ADAudit Plus bereits unzählige vorgefertigte Berichte mitbringt, die Sie tatkräftig bei allgemeinen Überwachungsaufgaben im gesamten Netzwerk unterstützen. Darüber hinaus können Sie natürlich auch eigene Berichte erstellen und ganz auf Ihren individuellen Sicherheitsbedarf abstimmen.

  • PowerShell-Skripte und vereinfachte AD-Änderungsüberwachung mit ADAudit Plus.
  •  
  • Mit einem Klick auf „Kostenlos in Ruhe ausprobieren“ willigen Sie in die Verarbeitung persönlicher Daten gemäß Datenschutzbestimmungen ein.
  • Danke für das Herunterladen!

    Ihr Download sollte in 15 Sekunden automatisch beginnen. Wenn nicht, klicken Sie hier, um es manuell herunterzuladen.

Verwandte Ressourcen