Murf 10 Geschrieben 7. Januar 2010 Melden Geschrieben 7. Januar 2010 Hallo zusammen, ich habe in unserem AD einige Konten entdeckt, zu denen ich eine Frage an die verantwortlichen habe...jedoch weiß ich nicht, wer diese angelegt hat. Jetzt kann ich an 20 Leute ne Rundmail schicken, keine Antwort bekommen weil sich niemand zuständig fühlt oder derjenige vielleicht schon gar nicht mehr in der Firma ist... Deshalb bin ich auf die Idee gekommen, ob es evtl. ein Attribut "createdBy" oder so ähnlich gibt, aus dem ich die SID o.ä. des Erstellers oder zumindest letzten Bearbeiters lesen kann? Zeit der letzten Änderung und Erstellung gibt's ja auch...Hab leider sonst nichts gefunden. Danke!
BrainStorm 10 Geschrieben 7. Januar 2010 Melden Geschrieben 7. Januar 2010 Hallo Murf, fällt mir spontan nur das Auditing ein. Sofern es aktiviert ist, werden Objektänderungen/Löschungen oder Neuanlage von AD Objekten mit den entsprechenden Hinweisen im Security Log protokolliert.
NilsK 3.045 Geschrieben 7. Januar 2010 Melden Geschrieben 7. Januar 2010 Moin, genau wie NTFS-Dateien haben auch AD-Objekte einen Owner. Das ist normalerweise derjenige, der das Objekt erzeugt hat. Schalte im ADUC die Erweiterte Ansicht an, dann kommst du über die Registerkarte "Sicherheit" daran. Voraussetzung ist aber, dass die Objekte nicht von einem Mitglied der Administratoren-Gruppe erzeugt wurden, denn in dem Fall wäre immer die Administratoren-Gruppe der Besitzer. Als Alternative könnte man nur auf Überwachungsdaten aus dem Security-Log zurückgreifen und die Verbindung über das dort angegebene Userkonto bzw. den Client herstellen, der die Änderung ausgeführt hat. Dazu allerdings müssen die Logs aus der Zeit vorliegen, zu der das Objekt erzeugt wurde ... Gruß, Nils
Murf 10 Geschrieben 7. Januar 2010 Autor Melden Geschrieben 7. Januar 2010 Hallo Murf, fällt mir spontan nur das Auditing ein. Sofern es aktiviert ist, werden Objektänderungen/Löschungen oder Neuanlage von AD Objekten mit den entsprechenden Hinweisen im Security Log protokolliert. Danke, das Auditing ist natürlich nicht aktiv :(, weißt ja, Ressourcen und so... schade...
Daim 12 Geschrieben 7. Januar 2010 Melden Geschrieben 7. Januar 2010 Servus, Jetzt kann ich an 20 Leute ne Rundmail schicken, keine Antwort bekommen weil sich niemand zuständig fühlt oder derjenige vielleicht schon gar nicht mehr in der Firma ist... dürfen denn so viele Benutzer Objekte im AD erstellen? Deshalb bin ich auf die Idee gekommen, ob es evtl. ein Attribut "createdBy" oder so ähnlich gibt Nein, dass gibt es nicht. Wenn du die Eventlogs der DCs auswertest, halte nach der EventID 624 Ausschau. Denn standardmäßig wird das Erstellen eines Benutzers im Sicherheitsprotokoll auf dem DC der das Objekt erstellt hat protokolliert. Diese Information wird jedoch nicht zwischen den DCs repliziert. Du müsstest also alle DCs in der Domäne überprüfen. Du kannst höchstens in den erweiterten Sicherheitseinstellungen des Objekts überprüfen, wer der Besitzer des Objekts ist.
Daim 12 Geschrieben 7. Januar 2010 Melden Geschrieben 7. Januar 2010 Sofern es aktiviert ist, werden Objektänderungen/Löschungen oder Neuanlage von AD Objekten mit den entsprechenden Hinweisen im Security Log protokolliert. Das ist standardmäßig so. Denn in der Default Domain Controllers Policy ist die folgende Policy mit den Ereignissen "Erfolgreich/Fehlgeschlagen" aktiviert. Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie\"Kontenverwaltung überwachen"
phoenixcp 10 Geschrieben 7. Januar 2010 Melden Geschrieben 7. Januar 2010 Das ist standardmäßig so. Denn in der Default Domain Controllers Policy ist die folgende Policy mit den Ereignissen "Erfolgreich/Fehlgeschlagen" aktiviert. Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie\"Kontenverwaltung überwachen" Sofern denn keiner mal die Richtlinie deaktiviert hat. ;)
NilsK 3.045 Geschrieben 7. Januar 2010 Melden Geschrieben 7. Januar 2010 ... und natürlich ist zu berücksichtigen, dass man für eine langfristige Auswertung einen regelmäßigen Export der Logs benötigt. (Womit wir wieder bei einem meiner Lieblingsthemen wären: Log Parser. ;)) Gruß, Nils
Daim 12 Geschrieben 7. Januar 2010 Melden Geschrieben 7. Januar 2010 Sofern denn keiner mal die Richtlinie deaktiviert hat. ;) Wie immer also. ;)
Murf 10 Geschrieben 7. Januar 2010 Autor Melden Geschrieben 7. Januar 2010 danke für euer Vorschläge! Leider ist als Besiter bei den meisten "Domänen-Admins" gelistet...Und Log-Parser? Das haben meine Kollegen, die für die DCs zuständig sind noch nie gehört :D Wenn Log voll, dann voll :cool:
NorbertFe 2.277 Geschrieben 7. Januar 2010 Melden Geschrieben 7. Januar 2010 Voraussetzung ist aber, dass die Objekte nicht von einem Mitglied der Administratoren-Gruppe erzeugt wurden, denn in dem Fall wäre immer die Administratoren-Gruppe der Besitzer. Kann man per GPO aber anpassen soweit ich mich erinnere. Hilft aber im Nachhinein auch nichts, und kann durchaus "Nebeneffekte" bringen. Bye Norbert
NilsK 3.045 Geschrieben 8. Januar 2010 Melden Geschrieben 8. Januar 2010 Moin, Und Log-Parser? Das haben meine Kollegen, die für die DCs zuständig sind noch nie gehört :D dann nimm sie mal beiseite und erklär ihnen das Konzept einer Suchmaschine. Gruß, Nils
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden