Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Überwachen von wichtigen Active Directory Gruppen mit auslösen einer Mail bei Änderung

Frage Microsoft Windows Server

Mitglied: u0206084

u0206084 (Level 1) - Jetzt verbinden

22.10.2014, aktualisiert 10.11.2014, 2620 Aufrufe, 4 Kommentare

Hallo Kollegen,

ich bin auf der Suche nach einer Möglichkeit wichtige Active Directory Gruppen auf Veränderung (HinzufügenEntfernen) deren Mitglieder zu überwachen.
Sollte eine anpassung von mir ausgewählter Gruppen erfolgen so erhalte ich eine Mailinfo.

Ich habe das ganze bereits unter Windows 2008 R2 Domäne mit dem Aufgabenplaner ausprobiert., es funktioniert auch soweit jedoch kann ich nicht selectieren bei welcher Anpassung einer Gruppe der Trigger auslöst.
Ich reagiere momentan auf das Event 4728 jetzt wird mir natürlich alle anpassungen einer globalen Sicherheitgruppe gemeldet. Es sollten mir aber nur z.B. Domain Admin, Organisationsadmin etc. gemeldet werden.

Wer kann mir hier weiterhelfen mit bordmitteln oder Freeware dies so realisieren. Meine Recherche im Netzt brachte mich nicht weiter.

Ich habe noch eine Idee weis jedoch nicht wie ich diese Umsetzen kann im Aufgabenplaner kann man noch benutzerdefinierte Ereignisfilter setzen die im xml Format definiert werden. Ich bekomme aber leider die Syntax nicht richtig hin.
Bin für jeden Hinweis der eine Realisierung meines Vorhabens weiterbringt sehr dankbar.

Bin nach dieser Anleitung gegangen die auch soweit funktioniert jedoch alle globalen Securitygruppen gemeldet werden, was ich ja einschränken will..

http://winsysadm.net/security-group-monitoring/


Gruß Martin

Mitglied: DerWoWusste
22.10.2014 um 13:38 Uhr
Moin.

im Aufgabenplaner kann man noch benutzerdefinierte Ereignisfilter setzen die im xml Format definiert werden. Ich bekomme aber leider die Syntax nicht richtig hin.
Lies mal http://www.administrator.de/forum/automatische-eventlogauswertung-mit-f ... durch, da wird ähnliches versucht. Wenn Dich das nicht weiterbringt... Uwe (Colinardo) kommt bestimmt noch vorbei.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 22.10.2014, aktualisiert 10.11.2014
Ach, noch was: Du kannst auch einschränken, welche Gruppen überwacht werden. Dazu muss die ACL der Gruppen im Bereich Überwachung angepasst werden. Im Moment scheinen all Deine Gruppen überwacht zu werden, vermutlich durch Vererbung vom Domain Head.
Bitte warten ..
Mitglied: colinardo
LÖSUNG 22.10.2014, aktualisiert 10.11.2014
Moin zusammen,
wie DWW bereits erwähnt hat sollte man in diesem Fall die Überwachungseinträge im ActiveDirectory (via ADSIEDit.msc oder in ADUC über Ansicht > "Erweiterte Features") auf die zu überwachenden Gruppen,Container oder OUs einschränken.
Das funktioniert IMHO aber nur wenn man in der SecurityPolicy stattdessen die Überwachung für den DS-Zugriff aktiviert und dann die Events 5136,5141,etc. überwacht, anstatt die Überwachung über Kontenverwaltung > Sicherheitsgruppenverwaltung überwachen zu machen, so wie du das jetzt im Moment machst.

Um mit deinen jetzigen Überwachungseinstellungen z.B. das Hinzufügen oder Entfernen von Mitgliedern in einer bestimmten Gruppe zu erfassen sähe das so aus
01.
<QueryList> 
02.
  <Query Id="0" Path="Security"> 
03.
    <Select Path="Security">*[System[(EventID=4728 or EventID=4729) and (Task=13826)] and EventData[Data[@Name="TargetUsername"]="Domain Admins"]]</Select> 
04.
  </Query> 
05.
</QueryList>
Das lässt sich natürlich um weitere Einträge via ODER-Verknüpfung erweitern.

Beispiel um zwei Gruppen zu überwachen:
01.
<QueryList> 
02.
  <Query Id="0" Path="Security"> 
03.
    <Select Path="Security">*[System[(EventID=4728 or EventID=4729) and (Task=13826)] and EventData[Data[@Name="TargetUsername"] and (Data="Domain Admins" or Data="Enterprise Admins")]]</Select> 
04.
  </Query> 
05.
</QueryList>
Für die Analyse welche Eigenschaften ein Event bietet ist die XML-Ansichtsseite welche bei Doppelklick auf einen Event auf dem Tab Details sichtbar ist, sehr hilfreich.

2309709ccd057fe2105efef41df8e471 - Klicke auf das Bild, um es zu vergrößern

Hier wird das XPath-Filtering-Prozedere auch ziemlich gut beschrieben, wenn man einmal durchgestiegen ist, ist das kein Hexenwerk mehr
http://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filter ...

Grüße Uwe
Bitte warten ..
Mitglied: u0206084
27.10.2014 um 18:06 Uhr
Vielen Dank

werds mir anschauen. Denke das hilft mir weiter.

Gruß Martin
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
AD Gruppe der Domänen-Admins überwachen (5)

Frage von ThorstenRay zum Thema Windows Userverwaltung ...

Linux Netzwerk
gelöst Linux als Active Directory Domäne (7)

Frage von 134408 zum Thema Linux Netzwerk ...

Windows Server
gelöst Active Directory Report (7)

Frage von mah0ni zum Thema Windows Server ...

Neue Wissensbeiträge
Sicherheits-Tools

Trendmicro OSCE und das Fall Creators Update Win10 RS3

(3)

Information von Henere zum Thema Sicherheits-Tools ...

Microsoft Office

Text in Zahlen umwandeln

Tipp von logische zum Thema Microsoft Office ...

Erkennung und -Abwehr

Infineon TPMs unsicher! Bitlocker ggf. angreifbar

(4)

Information von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Firewall

PfSense Repository für Version 2.3.x

(7)

Information von Dobby zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft Office
ICH BIN AM ENDE MEINES IT-WISSENS ANGELANGT!!!! (38)

Frage von 134537 zum Thema Microsoft Office ...

Windows Server
Gruppenrichtlinie greift nicht zu! (24)

Frage von Syosse zum Thema Windows Server ...

Hosting & Housing
Mailserver Software Empfehlungen (21)

Frage von sunics zum Thema Hosting & Housing ...