Evoco 10 Geschrieben 3. Dezember 2009 Melden Teilen Geschrieben 3. Dezember 2009 Hallo zusammen, ich habe mal eine Frage wo ihr vielleicht eine gute Idee habt. Wir hatten vor einiger Zeit in unserem AD das Problem das irgendjemand eine OU gelöscht hat samt inhalt. Ihr könnt euch den Ärger vorstellen auch deshlab weil sich keiner gemeldet hat das er es war. Meine Frage habt ihr eine Idee wie man eine schlanke Protokolierung einstellen kann um fest zustellen wer im AD etwas ändert bzw. löscht damit man beim nächsten mal den Schuldigen heraus finden kann. Ich würde mich über Vorschläge freuen wie man so etwas konfigurieren kann. Danke vorab. Gruss Evoco Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 3. Dezember 2009 Melden Teilen Geschrieben 3. Dezember 2009 Moin, sowas kannst du über die Objektüberwachung per GPO steuern. In dem Fall über die DefDomConPol, Kategorie Verzeichniszugriffe. Dazu musst du dann im AD auf der passenden Ebene in den Berechtigungen die Überwachung der konkreten Objekte aktivieren. Wobei die Frage "wer war es" im Zweifel vielleicht nett ist, um jemanden ohne Pudding ins Bett zu schicken - relevanter ist aber die Wiederherstellung. Das wäre mit den richtigen Prozessen eine Sache von Minuten. Siehe dazu: faq-o-matic.net Video-Tutorial: Active Directory Object Recovery Gruß, Nils Zitieren Link zu diesem Kommentar
Evoco 10 Geschrieben 3. Dezember 2009 Autor Melden Teilen Geschrieben 3. Dezember 2009 Moin, relevanter ist aber die Wiederherstellung. Das wäre mit den richtigen Prozessen eine Sache von Minuten Gruß, Nils Du triffst hier eine interessante Ausage ...Minuten... also ich kann nicht sagen das eine Wiederherstellung von einer OU mit 350 Clients eine SAche von minuten auch nicht mit den Systemstatusdateien und NTDSUtil in einer Server 2003 Umgebung. Dies kann man sagen wenn man einzelne User oder Gruppen, Computer wiederherstellen möchte oder AD 2008 hat aber sonst ist das mit Boardmitteln nach meinem Wissen nicht drinn. Wenn du das anders siehst würde ich mich freuen wenn du dies mir erläutern würdest. Nur zur Info ich kenne das Tool ADRESTORE, Werding.vbs, ADResycle.bin und keins davon stellt mir eine komplette OU mit Inhalt in minuten wieder her. Gruß Evoco Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 3. Dezember 2009 Melden Teilen Geschrieben 3. Dezember 2009 Moin, Wenn du das anders siehst würde ich mich freuen wenn du dies mir erläutern würdest. habe ich bereits getan, folge einfach dem Link, den ich gepostet habe und nimm dir eine Stunde Zeit. Eine ganze OU mit Inhalt benötigt im Authoritative Restore genau so viele Kommandos und auch nicht wesentlich mehr Zeit als ein Einzelobjekt. Gruß, Nils Zitieren Link zu diesem Kommentar
Evoco 10 Geschrieben 7. Dezember 2009 Autor Melden Teilen Geschrieben 7. Dezember 2009 Ich habe noch mal eine Frage zur Überwachung. Ich habe das jetzt so eingestellt wie du geschrieben und auch AD seitig die Überwachung aktiviert für folgende Dinge: Computer Objekte löschen Öffentliche Ordner löschen Organisationseinheit-Objekte löschen Wenn Jetzt Computer oder Gruppen gelöscht werden, werden diese im Eventlog gelöscht. Wenn ich aber eine OU mit Inhalt lösche, dann wird diese nicht im Eventlog angezeigt. Woran kann das liegen? Es werden nur die inhalte Protokoliert. Ich würde aber gerne auch wissen wenn eine OU gelöscht wird. Habt ihr da noch einen Tipp für mich. Danke vorab Gruß Evoco Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. Dezember 2009 Melden Teilen Geschrieben 7. Dezember 2009 Hi, in welchem Eventlog schaust Du nach? Es wird auf dem DC ins Eventlog geschrieben, der die Änderung durchführt. Zusätzlich hast Du die entsprechende Gruppenrichtlinie für "Object access" auf "Success" aktiviert? Die Richtlinie kommt auch auf den DC an? Viele Grüße olc Zitieren Link zu diesem Kommentar
Evoco 10 Geschrieben 8. Dezember 2009 Autor Melden Teilen Geschrieben 8. Dezember 2009 Hi, in welchem Eventlog schaust Du nach? Es wird auf dem DC ins Eventlog geschrieben, der die Änderung durchführt. Zusätzlich hast Du die entsprechende Gruppenrichtlinie für "Object access" auf "Success" aktiviert? Die Richtlinie kommt auch auf den DC an? Viele Grüße olc Also erst einmal danke für die schnelle Antwort. Ich habe ja auf dem DC geschahut wo die löschung durch geführt wurde, denn die gelöschten gruppen und computer zeigt er ja an. Auch Object Access steht auf Success Und die überwachung habe ich auch auf die höchste OU Gesetzt und dann steht diese Überwachung auch in allen anderen OUs drinne. Als Info ich habe die Überwachung für "Jeder" gesetzt ist doch richtig oder? Hast du noch eine Idee? Wenn es für Gruppen und und Computergeht müsste es doch auch für OUs gehen Zitieren Link zu diesem Kommentar
fluehmann 10 Geschrieben 8. Dezember 2009 Melden Teilen Geschrieben 8. Dezember 2009 Hallo Evoco Wir hatten vor einiger Zeit in unserem AD das Problem das irgendjemand eine OU gelöscht hat samt inhalt. Ihr könnt euch den Ärger vorstellen auch deshlab weil sich keiner gemeldet hat das er es war Bei 2008 könnte man dem ein wenig entgegensteuern: "Protect object from accidental deletion". Bei 2008 R2 wird dieses Flag sogar mit einer Regel des AD-BPAs geprüft: All OUs in this domain are protected from accidental deletion Mit einem einfache PS Script könnte man dieses Flag auch setzen. Gruss fluehmann Zitieren Link zu diesem Kommentar
Evoco 10 Geschrieben 8. Dezember 2009 Autor Melden Teilen Geschrieben 8. Dezember 2009 Bei 2008 könnte man dem ein wenig entgegensteuern: "Protect object from accidental deletion". Wir haben aber leider keine 2008 AD Domain sondern nur 2003 Und bei 2003 geht das eben leider nicht Gruss evoco Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 8. Dezember 2009 Melden Teilen Geschrieben 8. Dezember 2009 Moin, doch, natürlich. Der Trick besteht darin, dass man auf den OUs das Löschen-Recht für die Gruppe "Jeder" verweigert. Genau das macht das GUI von 2008. In 2003 hast du halt kein GUI dafür, aber du kannst es einfach z.B. per dsacls einrichten. Gruß, Nils Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 8. Dezember 2009 Melden Teilen Geschrieben 8. Dezember 2009 Servus, Bei 2008 könnte man dem ein wenig entgegensteuern: "Protect object from accidental deletion". nicht nur "erst" ab Windows Server 2008. Man kann seit Windows 2000 bereits ein AD-Objekt vor dem versehentlichen Löschen schützen, nur nicht mit lediglich dem setzen des Hakens. Zitieren Link zu diesem Kommentar
Evoco 10 Geschrieben 8. Dezember 2009 Autor Melden Teilen Geschrieben 8. Dezember 2009 Moin, doch, natürlich. Der Trick besteht darin, dass man auf den OUs das Löschen-Recht für die Gruppe "Jeder" verweigert. Genau das macht das GUI von 2008. In 2003 hast du halt kein GUI dafür, aber du kannst es einfach z.B. per dsacls einrichten. Gruß, Nils Aha OK. ich habe das mal bei uns nach geschaut und bei uns gibt es die Gruppe "Jeder" unter den Sicherheitseinstellungen nicht. Das heißt die haben gar keine Rechte. Meinst du das? Kann man dies irgend wo nach lesen? Hast du da einen Tipp für mich. Zitieren Link zu diesem Kommentar
Evoco 10 Geschrieben 8. Dezember 2009 Autor Melden Teilen Geschrieben 8. Dezember 2009 ich habe ihn doch schon gefunden: Protect Objects in Windows Server 2003 Active Directory from Accidental Deletion Zitieren Link zu diesem Kommentar
Evoco 10 Geschrieben 8. Dezember 2009 Autor Melden Teilen Geschrieben 8. Dezember 2009 Habt ihr hier noch was für mich? Ich habe ja auf dem DC geschaut wo die löschung durchgeführt wurde, denn die gelöschten Gruppen und Computer zeigt er ja an. Auch Object Access steht auf Success Und die überwachung habe ich auch auf die höchste OU Gesetzt und dann steht diese Überwachung auch in allen anderen OUs drinne. Als Info ich habe die Überwachung für "Jeder" gesetzt ist doch richtig oder? Hast du noch eine Idee? Wenn es für Gruppen und und Computergeht müsste es doch auch für OUs gehen QUOTE] Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 8. Dezember 2009 Melden Teilen Geschrieben 8. Dezember 2009 Meine Frage habt ihr eine Idee wie man eine schlanke Protokolierung einstellen kann um fest zustellen wer im AD etwas ändert bzw. löscht damit man beim nächsten mal den Schuldigen heraus finden kann. eine sehr komfortable Lösung bietet Quest mit Intrust an Security Event Log Management for Windows, Unix & Linux - InTrust by Quest Software Das kann - Alerts erzeugen, wenn bestimmte Objekte wie OUs gelöscht werden - unter W2k3 den Zustand vorher / nacher im Event anzeigen - bestimmte Objekte automatisch wiederherstellen, falls diese verändert werden etc.. Wobei man Quest sicher nicht vorwerfen kann, besonders preisgünstig am Markt aufzutreten. cu blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.