Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Überwachen von wichtigen Active Directory Gruppen mit auslösen einer Mail bei Änderung

Frage Microsoft Windows Server

Mitglied: u0206084

u0206084 (Level 1) - Jetzt verbinden

22.10.2014, aktualisiert 10.11.2014, 2245 Aufrufe, 4 Kommentare

Hallo Kollegen,

ich bin auf der Suche nach einer Möglichkeit wichtige Active Directory Gruppen auf Veränderung (HinzufügenEntfernen) deren Mitglieder zu überwachen.
Sollte eine anpassung von mir ausgewählter Gruppen erfolgen so erhalte ich eine Mailinfo.

Ich habe das ganze bereits unter Windows 2008 R2 Domäne mit dem Aufgabenplaner ausprobiert., es funktioniert auch soweit jedoch kann ich nicht selectieren bei welcher Anpassung einer Gruppe der Trigger auslöst.
Ich reagiere momentan auf das Event 4728 jetzt wird mir natürlich alle anpassungen einer globalen Sicherheitgruppe gemeldet. Es sollten mir aber nur z.B. Domain Admin, Organisationsadmin etc. gemeldet werden.

Wer kann mir hier weiterhelfen mit bordmitteln oder Freeware dies so realisieren. Meine Recherche im Netzt brachte mich nicht weiter.

Ich habe noch eine Idee weis jedoch nicht wie ich diese Umsetzen kann im Aufgabenplaner kann man noch benutzerdefinierte Ereignisfilter setzen die im xml Format definiert werden. Ich bekomme aber leider die Syntax nicht richtig hin.
Bin für jeden Hinweis der eine Realisierung meines Vorhabens weiterbringt sehr dankbar.

Bin nach dieser Anleitung gegangen die auch soweit funktioniert jedoch alle globalen Securitygruppen gemeldet werden, was ich ja einschränken will..

http://winsysadm.net/security-group-monitoring/


Gruß Martin

Mitglied: DerWoWusste
22.10.2014 um 13:38 Uhr
Moin.

im Aufgabenplaner kann man noch benutzerdefinierte Ereignisfilter setzen die im xml Format definiert werden. Ich bekomme aber leider die Syntax nicht richtig hin.
Lies mal http://www.administrator.de/forum/automatische-eventlogauswertung-mit-f ... durch, da wird ähnliches versucht. Wenn Dich das nicht weiterbringt... Uwe (Colinardo) kommt bestimmt noch vorbei.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 22.10.2014, aktualisiert 10.11.2014
Ach, noch was: Du kannst auch einschränken, welche Gruppen überwacht werden. Dazu muss die ACL der Gruppen im Bereich Überwachung angepasst werden. Im Moment scheinen all Deine Gruppen überwacht zu werden, vermutlich durch Vererbung vom Domain Head.
Bitte warten ..
Mitglied: colinardo
LÖSUNG 22.10.2014, aktualisiert 10.11.2014
Moin zusammen,
wie DWW bereits erwähnt hat sollte man in diesem Fall die Überwachungseinträge im ActiveDirectory (via ADSIEDit.msc oder in ADUC über Ansicht > "Erweiterte Features") auf die zu überwachenden Gruppen,Container oder OUs einschränken.
Das funktioniert IMHO aber nur wenn man in der SecurityPolicy stattdessen die Überwachung für den DS-Zugriff aktiviert und dann die Events 5136,5141,etc. überwacht, anstatt die Überwachung über Kontenverwaltung > Sicherheitsgruppenverwaltung überwachen zu machen, so wie du das jetzt im Moment machst.

Um mit deinen jetzigen Überwachungseinstellungen z.B. das Hinzufügen oder Entfernen von Mitgliedern in einer bestimmten Gruppe zu erfassen sähe das so aus
01.
<QueryList> 
02.
  <Query Id="0" Path="Security"> 
03.
    <Select Path="Security">*[System[(EventID=4728 or EventID=4729) and (Task=13826)] and EventData[Data[@Name="TargetUsername"]="Domain Admins"]]</Select> 
04.
  </Query> 
05.
</QueryList>
Das lässt sich natürlich um weitere Einträge via ODER-Verknüpfung erweitern.

Beispiel um zwei Gruppen zu überwachen:
01.
<QueryList> 
02.
  <Query Id="0" Path="Security"> 
03.
    <Select Path="Security">*[System[(EventID=4728 or EventID=4729) and (Task=13826)] and EventData[Data[@Name="TargetUsername"] and (Data="Domain Admins" or Data="Enterprise Admins")]]</Select> 
04.
  </Query> 
05.
</QueryList>
Für die Analyse welche Eigenschaften ein Event bietet ist die XML-Ansichtsseite welche bei Doppelklick auf einen Event auf dem Tab Details sichtbar ist, sehr hilfreich.

2309709ccd057fe2105efef41df8e471 - Klicke auf das Bild, um es zu vergrößern

Hier wird das XPath-Filtering-Prozedere auch ziemlich gut beschrieben, wenn man einmal durchgestiegen ist, ist das kein Hexenwerk mehr
http://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filter ...

Grüße Uwe
Bitte warten ..
Mitglied: u0206084
27.10.2014 um 18:06 Uhr
Vielen Dank

werds mir anschauen. Denke das hilft mir weiter.

Gruß Martin
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Active Directory CA öffentlich vertrauenswürdig machen, geht das? (2)

Frage von DeathangelCH zum Thema Windows Server ...

Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...