Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Мониторинг изменений в AD

Ответить
Настройки темы
Мониторинг изменений в AD

Аватара для PsyDuck

Пользователь


Сообщения: 107
Благодарности: 1


Конфигурация

Профиль | Отправить PM | Цитировать


Хотелось бы узнать, каким образом (без доп. ПО) можно мониторить изменений групп в AD (создание их или удаление).

Отправлено: 14:00, 22-09-2009

 

Ветеран


Сообщения: 4904
Благодарности: 495

Профиль | Сайт | Отправить PM | Цитировать


Стандартные политики аудита - Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy
К примеру, Audit directory service access

-------
Если сообщение оказалось полезным, нажмите, пожалуйста, соответствующую кнопку.

Это сообщение посчитали полезным следующие участники:

Отправлено: 14:05, 22-09-2009 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Ветеран


Сообщения: 1001
Благодарности: 226

Профиль | Отправить PM | Цитировать


Включить аудит audit account management в default domain controller policy
В результате в security log на контроллерах домена будут появляться следующие события:
http://technet.microsoft.com/ru-ru/l...42(WS.10).aspx
Это сообщение посчитали полезным следующие участники:

Отправлено: 14:08, 22-09-2009 | #3


Аватара для PsyDuck

Пользователь


Сообщения: 107
Благодарности: 1

Профиль | Отправить PM | Цитировать


Спасибо.

-------
Чудес не бывает, бывают плохие контакты.


Отправлено: 14:26, 22-09-2009 | #4


Пользователь


Сообщения: 63
Благодарности: 0

Профиль | Отправить PM | Цитировать


Ещё вопросик, создал в планировщике заданий - уведомления на электронную почту.
Возможно ли в тексте уведомления использовать переменные из лога события для получения более подробной информации - кем и что создано? Или вложить лог файл к письму?
Файл можно прикрепить, но мне нужен только текущий лог события.

Кстати, вот некоторые полезные идентификаторы событий для Windows Server 2008R2:

ID=4741 Создание компьютера в домене
ID=4743 Удаление компьютера из домена
ID=4728 Доббавление в группу безопасности
ID=4729 Удаление из группы безопасности
ID=4720 Создание пользователя
ID=4726 Удаление пользователя
ID=4740 Блокировка учетной записи
ID=4767 Разблокировка учетной записи
ID= 4722 Включение учетной записи
ID=4725 Отключение учетной записи

Последний раз редактировалось sea707, 16-11-2015 в 07:01. Причина: добавлены ID для Windows Server 2008R2


Отправлено: 06:59, 16-11-2015 | #5


Аватара для snark

Ветеран


Сообщения: 507
Благодарности: 139

Профиль | Отправить PM | Цитировать


sea707, я создаю в планировщике контроллера задание, например, на создание пользователя (User Account Created), триггер — по событию 4720, журнал Security, действие — запуск скрипта Powershell:

Код: Выделить весь код
$Subject = "A user account was created" 
$Theme = "A user account was created:" 
$Server = "smtp.office365.com" 
$From = "test@firma.ru"
$To = "admin@firma.ru"
$encoding = [System.Text.Encoding]::UTF8
$secpasswd = ConvertTo-SecureString "Str0Ng_P@ssw0rD" -AsPlainText -Force
$mycreds = New-Object System.Management.Automation.PSCredential ($From, $secpasswd)

$Body = Get-WinEvent -maxevents 1 -FilterHashtable @{LogName = "Security";ID = 4720;StartTime = (Get-Date).AddSeconds(-60)} | Select TimeCreated,`
@{n = "Account name";e = {([xml]$_.ToXml()).Event.EventData.Data | ?{$_.Name -eq "TargetUserName"} | %{$_.'#text'}}}, `
@{n="Display name";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "DisplayName"}| %{$_.'#text'}}}, `
@{n="UPN name";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "UserPrincipalName"}| %{$_.'#text'}}}, `
@{n="Created by";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "SubjectUserName"}| %{$_.'#text'}}}, `
@{n="DC";e={([xml]$_.ToXml()).Event.System.Computer}}

$body = $body -replace "@{" -replace "}" -replace "=", ": " -replace ";","`n" -replace "TimeCreated","Time Created" -replace "^","`n" 
$BodyM = $Body

Send-MailMessage -From $From -To $To -SmtpServer $server -Body "$Theme `n$BodyM" -Subject $Subject -Encoding $encoding -Port "587" -Credential $mycreds -UseSsl

У нас на работе почтовик на Office365, но я думаю, что не составит труда подставить свои данные.

Отправлено: 13:55, 15-12-2015 | #6



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Мониторинг изменений в AD

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Интернет - [решено] Отслеживание изменений на сайте BelovS Программное обеспечение Windows 10 04-11-2015 18:45
В Windows 7 внесли 27 изменений boss911 Новости и события Microsoft 9 21-03-2009 09:36
36 изменений в Windows 7 RC Drinko Новости и события Microsoft 6 28-02-2009 18:22
Ошибка - Не видно изменений внутри папки roniro Microsoft Windows 2000/XP 3 28-07-2008 19:48
Разное - [решено] Откат изменений в реестре XP Volan Microsoft Windows 2000/XP 4 14-09-2007 03:00




 
Переход