Jump to content

Protokolierung für Active Directory Änderungen

Evoco

Von Evoco
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Evoco

Evoco   10

Geschrieben
Geschrieben

Hallo zusammen,

 

ich habe mal eine Frage wo ihr vielleicht eine gute Idee habt.

 

Wir hatten vor einiger Zeit in unserem AD das Problem das irgendjemand eine OU gelöscht hat samt inhalt. Ihr könnt euch den Ärger vorstellen auch deshlab weil sich keiner gemeldet hat das er es war.

 

Meine Frage habt ihr eine Idee wie man eine schlanke Protokolierung einstellen kann um fest zustellen wer im AD etwas ändert bzw. löscht damit man beim nächsten mal den Schuldigen heraus finden kann.

 

Ich würde mich über Vorschläge freuen wie man so etwas konfigurieren kann.

 

Danke vorab.

 

Gruss Evoco

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.789

Geschrieben
Geschrieben

Moin,

 

sowas kannst du über die Objektüberwachung per GPO steuern. In dem Fall über die DefDomConPol, Kategorie Verzeichniszugriffe. Dazu musst du dann im AD auf der passenden Ebene in den Berechtigungen die Überwachung der konkreten Objekte aktivieren.

 

Wobei die Frage "wer war es" im Zweifel vielleicht nett ist, um jemanden ohne Pudding ins Bett zu schicken - relevanter ist aber die Wiederherstellung. Das wäre mit den richtigen Prozessen eine Sache von Minuten. Siehe dazu:

 

faq-o-matic.net Video-Tutorial: Active Directory Object Recovery

 

Gruß, Nils

Link zu diesem Kommentar
Evoco

Evoco   10

Geschrieben
  • Autor
Geschrieben
Moin,

 

relevanter ist aber die Wiederherstellung. Das wäre mit den richtigen Prozessen eine Sache von Minuten

 

Gruß, Nils

 

Du triffst hier eine interessante Ausage ...Minuten... also ich kann nicht sagen das eine Wiederherstellung von einer OU mit 350 Clients eine SAche von minuten auch nicht mit den Systemstatusdateien und NTDSUtil in einer Server 2003 Umgebung. Dies kann man sagen wenn man einzelne User oder Gruppen, Computer wiederherstellen möchte oder AD 2008 hat aber sonst ist das mit Boardmitteln nach meinem Wissen nicht drinn.

 

Wenn du das anders siehst würde ich mich freuen wenn du dies mir erläutern würdest.

 

Nur zur Info ich kenne das Tool ADRESTORE, Werding.vbs, ADResycle.bin und keins davon stellt mir eine komplette OU mit Inhalt in minuten wieder her.

 

Gruß Evoco

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.789

Geschrieben
Geschrieben

Moin,

 

Wenn du das anders siehst würde ich mich freuen wenn du dies mir erläutern würdest.

 

habe ich bereits getan, folge einfach dem Link, den ich gepostet habe und nimm dir eine Stunde Zeit.

 

Eine ganze OU mit Inhalt benötigt im Authoritative Restore genau so viele Kommandos und auch nicht wesentlich mehr Zeit als ein Einzelobjekt.

 

Gruß, Nils

Link zu diesem Kommentar
Evoco

Evoco   10

Geschrieben
  • Autor
Geschrieben

Ich habe noch mal eine Frage zur Überwachung.

 

Ich habe das jetzt so eingestellt wie du geschrieben und auch AD seitig die Überwachung aktiviert für folgende Dinge:

 

Computer Objekte löschen

Öffentliche Ordner löschen

Organisationseinheit-Objekte löschen

 

Wenn Jetzt Computer oder Gruppen gelöscht werden, werden diese im Eventlog gelöscht.

 

Wenn ich aber eine OU mit Inhalt lösche, dann wird diese nicht im Eventlog angezeigt.

 

Woran kann das liegen? Es werden nur die inhalte Protokoliert. Ich würde aber gerne auch wissen wenn eine OU gelöscht wird.

 

Habt ihr da noch einen Tipp für mich.

 

Danke vorab Gruß Evoco

Link zu diesem Kommentar
Evoco

Evoco   10

Geschrieben
  • Autor
Geschrieben
Hi,

 

in welchem Eventlog schaust Du nach? Es wird auf dem DC ins Eventlog geschrieben, der die Änderung durchführt.

Zusätzlich hast Du die entsprechende Gruppenrichtlinie für "Object access" auf "Success" aktiviert? Die Richtlinie kommt auch auf den DC an?

 

Viele Grüße

olc

 

Also erst einmal danke für die schnelle Antwort.

 

Ich habe ja auf dem DC geschahut wo die löschung durch geführt wurde, denn die gelöschten gruppen und computer zeigt er ja an.

 

Auch Object Access steht auf Success

 

Und die überwachung habe ich auch auf die höchste OU Gesetzt und dann steht diese Überwachung auch in allen anderen OUs drinne.

 

Als Info ich habe die Überwachung für "Jeder" gesetzt ist doch richtig oder?

 

Hast du noch eine Idee?

Wenn es für Gruppen und und Computergeht müsste es doch auch für OUs gehen

Link zu diesem Kommentar
fluehmann Experienced

fluehmann   10

Geschrieben
Geschrieben

Hallo Evoco

 

Wir hatten vor einiger Zeit in unserem AD das Problem das irgendjemand eine OU gelöscht hat samt inhalt. Ihr könnt euch den Ärger vorstellen auch deshlab weil sich keiner gemeldet hat das er es war

 

Bei 2008 könnte man dem ein wenig entgegensteuern: "Protect object from accidental deletion".

 

Bei 2008 R2 wird dieses Flag sogar mit einer Regel des AD-BPAs geprüft:

All OUs in this domain are protected from accidental deletion

 

Mit einem einfache PS Script könnte man dieses Flag auch setzen.

 

Gruss

fluehmann

Link zu diesem Kommentar
Evoco

Evoco   10

Geschrieben
  • Autor
Geschrieben
Moin,

 

doch, natürlich. Der Trick besteht darin, dass man auf den OUs das Löschen-Recht für die Gruppe "Jeder" verweigert. Genau das macht das GUI von 2008. In 2003 hast du halt kein GUI dafür, aber du kannst es einfach z.B. per dsacls einrichten.

 

Gruß, Nils

 

Aha OK. ich habe das mal bei uns nach geschaut und bei uns gibt es die Gruppe "Jeder" unter den Sicherheitseinstellungen nicht. Das heißt die haben gar keine Rechte.

 

Meinst du das? Kann man dies irgend wo nach lesen? Hast du da einen Tipp für mich.

Link zu diesem Kommentar
Evoco

Evoco   10

Geschrieben
  • Autor
Geschrieben

Habt ihr hier noch was für mich?

 

 

 

Ich habe ja auf dem DC geschaut wo die löschung durchgeführt wurde, denn die gelöschten Gruppen und Computer zeigt er ja an.

 

Auch Object Access steht auf Success

 

Und die überwachung habe ich auch auf die höchste OU Gesetzt und dann steht diese Überwachung auch in allen anderen OUs drinne.

 

Als Info ich habe die Überwachung für "Jeder" gesetzt ist doch richtig oder?

 

Hast du noch eine Idee?

Wenn es für Gruppen und und Computergeht müsste es doch auch für OUs gehen

 

QUOTE]

Link zu diesem Kommentar
blub Grand Master

blub   115

Geschrieben
Geschrieben

Meine Frage habt ihr eine Idee wie man eine schlanke Protokolierung einstellen kann um fest zustellen wer im AD etwas ändert bzw. löscht damit man beim nächsten mal den Schuldigen heraus finden kann.

 

 

eine sehr komfortable Lösung bietet Quest mit Intrust an

Security Event Log Management for Windows, Unix & Linux - InTrust by Quest Software

Das kann

- Alerts erzeugen, wenn bestimmte Objekte wie OUs gelöscht werden

- unter W2k3 den Zustand vorher / nacher im Event anzeigen

- bestimmte Objekte automatisch wiederherstellen, falls diese verändert werden

etc..

 

 

Wobei man Quest sicher nicht vorwerfen kann, besonders preisgünstig am Markt aufzutreten.

 

cu

blub

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...