Comment générer un rapport sur les détails des objets Active Directory supprimés ?
La suppression d'objets AD relève généralement des privilèges administrateur. Par conséquent, en cas de suppression suspecte, il devient crucial de trouver l'utilisateur à l'origine de l'événement. Un tel utilisateur non autorisé peut représenter un risque terrible pour la sécurité du réseau. Plus vite l'administrateur informatique le détectera, moins les dégâts seront importants.
Sur un AD natif, même Windows PowerShell ne peut pas, à lui seul, produire ce rapport. Il faudra utiliser plusieurs applications avant de pouvoir obtenir ces informations. ADAudit Plus, quant à lui, vous permettra d'obtenir le rapport en quelques minutes. En effet, ADAudit Plus dispose de plusieurs rapports préconfigurés qui vous aident à réaliser un audit général de l'ensemble du réseau. « À l’exception d’ici » (Apart from Here) est une comparaison de façon de trouver l'utilisateur qui a supprimé un objet informatique en utilisant Windows PowerShell et ADAudit Plus.
Utilisation de Windows PowerShell
- Identifiez le domaine concerné.
- Déterminez les attributs dont vous avez besoin dans le rapport. Par exemple, le Distinguished Name (DN), le nombre de jours que vous souhaitez couvrir dans la requête, etc.
- Sélectionnez le contrôleur de domaine pour lequel vous devez générer le rapport.
- Écrivez le code. Un exemple de code a été ajouté à la fin de cette section.
- Compilez le script.
- Exécutez-le dans Windows PowerShell.
- Dans la liste des ordinateurs supprimés, sélectionnez celui pour lequel vous avez besoin de détails. Copiez le Distinguished Name (DN) de l'objet supprimé. Le DN sera utilisé pour exécuter une commande dans l'Invite de commande, qui peut afficher plus de détails sur l'objet supprimé.
- Ouvrez l’Observateur d’événements Active Directory et utilisez les données obtenues à l'étape précédente pour filtrer les événements de suppression afin de localiser l'utilisateur qui a supprimé l'objet informatique.
Here is a sample script:
Get-Adobject -includedeletedobjects -filter{objectclass -eq "computer" -and isdeleted -eq$true}À partir de la sortie, copiez le DN de l'objet particulier supprimé.
Ensuite, ouvrez l'Invite de commande et tapez ce qui suit en insérant le nom de votre DC et le DN de l'objet supprimé dans les espaces appropriés - repadmin /showobjmeta nameofDC « DN de l'objet informatique »
Vous obtiendrez ainsi la date et l'heure de la suppression. Vous pouvez maintenant utiliser la date pour filtrer les événements dans l’Observateur d'événements Active Directory afin de découvrir l'utilisateur qui a supprimé l'objet AD.
À l’aide d’ADAudit Plus
- Ouvrez ADAudit Plus et allez à Rapports > Gestion des ordinateurs > Ordinateurs récemment supprimés pour trouver un rapport détaillé.
- Sélectionnez le domaine et l’UO concernés et cliquez sur Générer.
- Sélectionnez Exporter pour exporter le rapport dans les différents formats disponibles (CSV, PDF, HTML, CSVDE et XLSX).
Capture d’écran :
Il existe plusieurs limites à l'utilisation de Windows PowerShell pour trouver les détails d'un objet supprimé, comme ci-dessous :
- Le script PowerShell ne peut être exécuté qu'à partir d'un ordinateur qui a le rôle Services de domaine Active Directory.
- Dans ce cas, il devient nécessaire d'utiliser plusieurs applications pour obtenir les données requises.
- Pour exporter la sortie dans un autre format, le script devra être modifié.
- Le fait d’appliquer plusieurs filtres augmenterait la complexité du script.
En revanche, les rapports préconfigurés d'ADAudit Plus fournissent les informations nécessaires en quelques clics seulement. En effet, ADAudit Plus dispose de plusieurs rapports préconfigurés qui vous aident à réaliser un audit général de l'ensemble du réseau. En outre, il existe également des rapports personnalisés qui peuvent être conçus pour répondre à vos besoins particuliers en matière de sécurité.