Jump to content

Protokolierung für Active Directory Änderungen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

ich habe mal eine Frage wo ihr vielleicht eine gute Idee habt.

 

Wir hatten vor einiger Zeit in unserem AD das Problem das irgendjemand eine OU gelöscht hat samt inhalt. Ihr könnt euch den Ärger vorstellen auch deshlab weil sich keiner gemeldet hat das er es war.

 

Meine Frage habt ihr eine Idee wie man eine schlanke Protokolierung einstellen kann um fest zustellen wer im AD etwas ändert bzw. löscht damit man beim nächsten mal den Schuldigen heraus finden kann.

 

Ich würde mich über Vorschläge freuen wie man so etwas konfigurieren kann.

 

Danke vorab.

 

Gruss Evoco

Link to comment

Moin,

 

sowas kannst du über die Objektüberwachung per GPO steuern. In dem Fall über die DefDomConPol, Kategorie Verzeichniszugriffe. Dazu musst du dann im AD auf der passenden Ebene in den Berechtigungen die Überwachung der konkreten Objekte aktivieren.

 

Wobei die Frage "wer war es" im Zweifel vielleicht nett ist, um jemanden ohne Pudding ins Bett zu schicken - relevanter ist aber die Wiederherstellung. Das wäre mit den richtigen Prozessen eine Sache von Minuten. Siehe dazu:

 

faq-o-matic.net Video-Tutorial: Active Directory Object Recovery

 

Gruß, Nils

Link to comment
Moin,

 

relevanter ist aber die Wiederherstellung. Das wäre mit den richtigen Prozessen eine Sache von Minuten

 

Gruß, Nils

 

Du triffst hier eine interessante Ausage ...Minuten... also ich kann nicht sagen das eine Wiederherstellung von einer OU mit 350 Clients eine SAche von minuten auch nicht mit den Systemstatusdateien und NTDSUtil in einer Server 2003 Umgebung. Dies kann man sagen wenn man einzelne User oder Gruppen, Computer wiederherstellen möchte oder AD 2008 hat aber sonst ist das mit Boardmitteln nach meinem Wissen nicht drinn.

 

Wenn du das anders siehst würde ich mich freuen wenn du dies mir erläutern würdest.

 

Nur zur Info ich kenne das Tool ADRESTORE, Werding.vbs, ADResycle.bin und keins davon stellt mir eine komplette OU mit Inhalt in minuten wieder her.

 

Gruß Evoco

Link to comment

Moin,

 

Wenn du das anders siehst würde ich mich freuen wenn du dies mir erläutern würdest.

 

habe ich bereits getan, folge einfach dem Link, den ich gepostet habe und nimm dir eine Stunde Zeit.

 

Eine ganze OU mit Inhalt benötigt im Authoritative Restore genau so viele Kommandos und auch nicht wesentlich mehr Zeit als ein Einzelobjekt.

 

Gruß, Nils

Link to comment

Ich habe noch mal eine Frage zur Überwachung.

 

Ich habe das jetzt so eingestellt wie du geschrieben und auch AD seitig die Überwachung aktiviert für folgende Dinge:

 

Computer Objekte löschen

Öffentliche Ordner löschen

Organisationseinheit-Objekte löschen

 

Wenn Jetzt Computer oder Gruppen gelöscht werden, werden diese im Eventlog gelöscht.

 

Wenn ich aber eine OU mit Inhalt lösche, dann wird diese nicht im Eventlog angezeigt.

 

Woran kann das liegen? Es werden nur die inhalte Protokoliert. Ich würde aber gerne auch wissen wenn eine OU gelöscht wird.

 

Habt ihr da noch einen Tipp für mich.

 

Danke vorab Gruß Evoco

Link to comment
Hi,

 

in welchem Eventlog schaust Du nach? Es wird auf dem DC ins Eventlog geschrieben, der die Änderung durchführt.

Zusätzlich hast Du die entsprechende Gruppenrichtlinie für "Object access" auf "Success" aktiviert? Die Richtlinie kommt auch auf den DC an?

 

Viele Grüße

olc

 

Also erst einmal danke für die schnelle Antwort.

 

Ich habe ja auf dem DC geschahut wo die löschung durch geführt wurde, denn die gelöschten gruppen und computer zeigt er ja an.

 

Auch Object Access steht auf Success

 

Und die überwachung habe ich auch auf die höchste OU Gesetzt und dann steht diese Überwachung auch in allen anderen OUs drinne.

 

Als Info ich habe die Überwachung für "Jeder" gesetzt ist doch richtig oder?

 

Hast du noch eine Idee?

Wenn es für Gruppen und und Computergeht müsste es doch auch für OUs gehen

Link to comment

Hallo Evoco

 

Wir hatten vor einiger Zeit in unserem AD das Problem das irgendjemand eine OU gelöscht hat samt inhalt. Ihr könnt euch den Ärger vorstellen auch deshlab weil sich keiner gemeldet hat das er es war

 

Bei 2008 könnte man dem ein wenig entgegensteuern: "Protect object from accidental deletion".

 

Bei 2008 R2 wird dieses Flag sogar mit einer Regel des AD-BPAs geprüft:

All OUs in this domain are protected from accidental deletion

 

Mit einem einfache PS Script könnte man dieses Flag auch setzen.

 

Gruss

fluehmann

Link to comment
Moin,

 

doch, natürlich. Der Trick besteht darin, dass man auf den OUs das Löschen-Recht für die Gruppe "Jeder" verweigert. Genau das macht das GUI von 2008. In 2003 hast du halt kein GUI dafür, aber du kannst es einfach z.B. per dsacls einrichten.

 

Gruß, Nils

 

Aha OK. ich habe das mal bei uns nach geschaut und bei uns gibt es die Gruppe "Jeder" unter den Sicherheitseinstellungen nicht. Das heißt die haben gar keine Rechte.

 

Meinst du das? Kann man dies irgend wo nach lesen? Hast du da einen Tipp für mich.

Link to comment

Habt ihr hier noch was für mich?

 

 

 

Ich habe ja auf dem DC geschaut wo die löschung durchgeführt wurde, denn die gelöschten Gruppen und Computer zeigt er ja an.

 

Auch Object Access steht auf Success

 

Und die überwachung habe ich auch auf die höchste OU Gesetzt und dann steht diese Überwachung auch in allen anderen OUs drinne.

 

Als Info ich habe die Überwachung für "Jeder" gesetzt ist doch richtig oder?

 

Hast du noch eine Idee?

Wenn es für Gruppen und und Computergeht müsste es doch auch für OUs gehen

 

QUOTE]

Link to comment

Meine Frage habt ihr eine Idee wie man eine schlanke Protokolierung einstellen kann um fest zustellen wer im AD etwas ändert bzw. löscht damit man beim nächsten mal den Schuldigen heraus finden kann.

 

 

eine sehr komfortable Lösung bietet Quest mit Intrust an

Security Event Log Management for Windows, Unix & Linux - InTrust by Quest Software

Das kann

- Alerts erzeugen, wenn bestimmte Objekte wie OUs gelöscht werden

- unter W2k3 den Zustand vorher / nacher im Event anzeigen

- bestimmte Objekte automatisch wiederherstellen, falls diese verändert werden

etc..

 

 

Wobei man Quest sicher nicht vorwerfen kann, besonders preisgünstig am Markt aufzutreten.

 

cu

blub

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...