Zum Löschen von AD-Objekten sind grundsätzlich Administratorberechtigungen erforderlich (oder zumindest sollte dies so sein). Daher ist es im Falle einer verdächtigen Löschung unbedingt erforderlich, den Verursacher herauszufinden. Ein solcher unautorisierter Benutzer kann ein gewaltiges Sicherheitsrisiko darstellen – und je schneller der Betreffende aufgespürt wird, desto geringer fällt gewöhnlich der Schaden aus.
Wenn der nativen AD-Umgebung ist es selbst mit Windows PowerShell nicht ohne weitere Hilfsmittel möglich, einen zweckdienlichen Bericht zu erzeugen. Administratoren müssen mehrere unterschiedliche Anwendungen einsetzen, um an die gesuchten Informationen zu gelangen. Mit ADAudit Plus hingegen rufen Sie den passenden Bericht in nur wenigen Minuten ab. Dies ist möglich, weil ADAudit Plus bereits unzählige vorgefertigte Berichte mitbringt, die Sie tatkräftig bei allgemeinen Überwachungsaufgaben im gesamten Netzwerk unterstützen. Hier ein Vergleich der Verfahren zum Herausfinden eines Benutzers, der ein Computerobjekt löschte – mit Windows PowerShell und ADAudit Plus.
Dieses Verfahren nutzt PowerShell zum Auflisten der gelöschten Objekte, die Eingabeaufforderung zum Herausfinden weiterer Details zum Objekt, letztendlich die Ereignisanzeige zum Lokalisieren des Ereignisses und des Benutzers, der dafür verantwortlich zeichnete.
Kopieren Sie den DN des zutreffenden gelöschten Objektes aus den ausgegebenen Daten.
Öffnen Sie nun die Eingabeaufforderung, geben Sie Folgendes ein, tragen Sie dabei den Namen Ihres Domänencontrollers und den definierten Namen des gelöschten Objektes an den richtigen Stellen ein: repadmin /showobjmeta DC-Name "DN des Computerobjektes"
Auf diese Weise erhalten Sie Datum und Uhrzeit der Löschung. Nun können Sie den Zeitpunkt zum Filtern der Ereignisse in der Active-Directory-Ereignisanzeige verwenden und letztendlich herausfinden, wer das AD-Objekt löschte.
Bildschirmabbildung
Es gibt zahlreiche Einschränkungen beim Einsatz von Windows PowerShell, wenn es darum geht, Details zu gelöschten Objekten herauszufinden. Unter anderem:
ADAudit Plus hingegen liefert die gewünschten Informationen schnell, einfach und mit nur wenigen Mausklicks. Dies ist möglich, weil ADAudit Plus bereits unzählige vorgefertigte Berichte mitbringt, die Sie tatkräftig bei allgemeinen Überwachungsaufgaben im gesamten Netzwerk unterstützen. Darüber hinaus können Sie natürlich auch eigene Berichte erstellen und ganz auf Ihren individuellen Sicherheitsbedarf abstimmen.