ich suche nach einer Möglichkeit ausgewählte Security Gruppen im AD hinsichtlich ihrer Mitglieder zu protokollieren. Ziel ist es im nachhinein sagen zu können, wer in welcher Gruppe Mitglied war/ist. Mir sind zwar einige Protokollierungsmöglichkeiten mittels Gruppenrichtlinien bekannt, aber keine Möglichkeit schnell diese auszuwerten, seit wann jemand Mitglied in der Gruppe ist bzw. beispielsweise zu sagen: Zeige mir alle Mitglieder der Gruppe "XY" vom 24.07.2010. Daher kam mir grundsätzlich in den Sinn die Gruppen beispielsweise 3 mal täglich auszulesen und in eine Datenbank zu schreiben, dann könnte man mittels SQL solche Dinge abfragen.
Oder kennt wer vielleicht schon fertige Tools, die für diesen Zweck vorgesehen sind.
da fällt mir noch ein Tool ein "DocuSnap" da kannst du ja aufzeichnungen vom Datum XY starten. Auch über das AD. Somit könntest du auch nachschauen, vorausgesetzt du startest diesen Snap zB. einmal die Woche. Aber kommt jetzt auf die AD Größe an ob das Sinn macht...
in deinem Szenario wäre vermutlich die Überwachung administrativer Zugriffe auf die Gruppen der sinnvollere Weg. Dann siehst du nicht nur, dass sich etwas geändert hat, sondern auch, welches Userkonto die Änderung ausgeführt hat.
Technisch realisierst du das über die AD-Berechtigungen der Gruppen (SACL) und die Konfiguration der AD-Überwachung in der DefDomConPol.
Vorsicht, das kann juristische Implikationen haben, also ggf. mit dem Betriebsrat und/oder einem Juristen abstimmen.
