Pitanje revizije promjena u Active Directoryu izuzetno je relevantno u velikoj domeni infrastrukture u kojoj su prava na razne komponente za upravljanje aktivnim direktorijom delegirana širokom krugu ljudi. U prethodnom članku općenito smo govorili o postojećim postavkama pravila grupe koja vam omogućuju reviziju promjena u Active Directoryu. Danas smo razmotrili metodologiju održavanja i praćenja promjena koje su izvršili korisnici u AD sigurnosnim skupinama. Naoružan ovom tehnikom administrator domene može pratiti stvaranje, uklanjanje AD grupa, isto tako korisnik dodavanje / uklanjanje događaja u ove grupe.
Upravljači domena prema zadanim postavkama već imaju pravilo prikupljanja podataka o promjenama u grupama Active Directory, ali bilježe se samo uspješni pokušaji promjena..
Omogućujemo prisilno bilježenje svih događaja o promjenama u grupama Active Directory pomoću grupnih pravila. Da biste to učinili, otvorite konzolu za upravljanje Group Policy Manager, pronađite i uredite pravilo zadani domena kontrolor politika (prema zadanim postavkama ovo se pravilo odnosi na sve kontrolere domena).
primjedba. Praćenje događaja revizije sigurnosnih skupina domena ima smisla samo na kontrolerima domena.
Prijeđimo na sljedeći odjeljak GPO-a: Konfiguracija računala-> Pravila-> Postavke sustava Windows>> Sigurnosne postavke-> Napredne postavke Politika revizije-> Politika revizije -> Upravljanje računom. Zanima nas politika Upravljanje sigurnosnom skupinom revizije.
Otvorimo politiku i uredimo je, pokazujući da će biti prikupljena kao uspješna (uspjeh) i neuspješno (neuspjeh) promjena događaja u sigurnosnim grupama domena.
Ostaje pričekati primjenu modificiranog GPO-a na kontrolerima domena ili izvršiti ručno ažuriranje GPO-a pomoću naredbe
gpupdate / force.
Možete pogledati prikupljene revizijske događaje u sigurnosnom zapisniku. Radi praktičnosti stvorit ćemo zaseban prikaz dnevnika događaja. Da biste to učinili, odaberite stavku u konzoli programa Windows Event Viewer pomoću kontekstnog izbornika stvoriti običaj pogled.
U prozoru opcija filtriranja prikaza odredite:
Dnevnikom - „Sigurnost”
Uključuje / isključuje ID-ove događaja - Zanimaju nas događaji sa sljedećim događajimaIDID: 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4754, 4755, 4756, 4757, 4758, 4764.
primjedba. Prikupili smo sve ID-ove događaja koji odgovaraju različitim promjenama u sigurnosnim grupama AD-a. Na primjer,
ID 4727 - događaj stvaranja grupe
ID 4728 - događaj dodaj korisnika u grupu
ID 4729 - događaj ukloni korisnika iz grupe
ID 4730 - događaj brisanja sigurnosne grupe
Po želji možete filtrirati filtre finije, ostavljajući samo zanimljive događaje.
Spremite promjene i navedite, primjerice, naziv vlasničkog pregleda Promjene grupe revizora.
Za eksperiment dodajte (pomoću ADUC konzole) korisnika JJonson u grupu domena Network Admins. Tada otvaramo i ažuriramo pogled koji smo stvorili.
Kao što vidite, u njemu se pojavilo nekoliko novih događaja..
Otvaranjem bilo kojeg događaja možete detaljnije vidjeti informacije o promjenama. Otvorite događaj pomoću EventID-a 4728. U njegovom je sadržaju vidljivo. taj korisnik dadmin dodao je JJonson korisnički račun grupi Network Admins
Predmet: ID zaštite: corp \ dadminNaziv računa: dadmin
Domena računa: corp
ID prijave: 0x85A46579
član:
ID sigurnosti: corp \ JJonson
Ime računa: CN = JJonson, OU = korisnici, OU = računi, DC = corp, DC = loc
grupa:
Sigurnosni ID: corp \ Network Admins
Naziv grupe: Mrežni administratori
Domena grupe: corp
Ako je potrebno, možete vezati potrebne ID-ove događaja da biste automatski slali obavijesti e-poštom administratorima sigurnosti putem okidača događaja.
