Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Überwachen von wichtigen Active Directory Gruppen mit auslösen einer Mail bei Änderung

Frage Microsoft Windows Server

Mitglied: u0206084

u0206084 (Level 1) - Jetzt verbinden

22.10.2014, aktualisiert 10.11.2014, 2699 Aufrufe, 4 Kommentare

Hallo Kollegen,

ich bin auf der Suche nach einer Möglichkeit wichtige Active Directory Gruppen auf Veränderung (HinzufügenEntfernen) deren Mitglieder zu überwachen.
Sollte eine anpassung von mir ausgewählter Gruppen erfolgen so erhalte ich eine Mailinfo.

Ich habe das ganze bereits unter Windows 2008 R2 Domäne mit dem Aufgabenplaner ausprobiert., es funktioniert auch soweit jedoch kann ich nicht selectieren bei welcher Anpassung einer Gruppe der Trigger auslöst.
Ich reagiere momentan auf das Event 4728 jetzt wird mir natürlich alle anpassungen einer globalen Sicherheitgruppe gemeldet. Es sollten mir aber nur z.B. Domain Admin, Organisationsadmin etc. gemeldet werden.

Wer kann mir hier weiterhelfen mit bordmitteln oder Freeware dies so realisieren. Meine Recherche im Netzt brachte mich nicht weiter.

Ich habe noch eine Idee weis jedoch nicht wie ich diese Umsetzen kann im Aufgabenplaner kann man noch benutzerdefinierte Ereignisfilter setzen die im xml Format definiert werden. Ich bekomme aber leider die Syntax nicht richtig hin.
Bin für jeden Hinweis der eine Realisierung meines Vorhabens weiterbringt sehr dankbar.

Bin nach dieser Anleitung gegangen die auch soweit funktioniert jedoch alle globalen Securitygruppen gemeldet werden, was ich ja einschränken will..

http://winsysadm.net/security-group-monitoring/


Gruß Martin

Mitglied: DerWoWusste
22.10.2014 um 13:38 Uhr
Moin.

im Aufgabenplaner kann man noch benutzerdefinierte Ereignisfilter setzen die im xml Format definiert werden. Ich bekomme aber leider die Syntax nicht richtig hin.
Lies mal http://www.administrator.de/forum/automatische-eventlogauswertung-mit-f ... durch, da wird ähnliches versucht. Wenn Dich das nicht weiterbringt... Uwe (Colinardo) kommt bestimmt noch vorbei.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 22.10.2014, aktualisiert 10.11.2014
Ach, noch was: Du kannst auch einschränken, welche Gruppen überwacht werden. Dazu muss die ACL der Gruppen im Bereich Überwachung angepasst werden. Im Moment scheinen all Deine Gruppen überwacht zu werden, vermutlich durch Vererbung vom Domain Head.
Bitte warten ..
Mitglied: colinardo
LÖSUNG 22.10.2014, aktualisiert 10.11.2014
Moin zusammen,
wie DWW bereits erwähnt hat sollte man in diesem Fall die Überwachungseinträge im ActiveDirectory (via ADSIEDit.msc oder in ADUC über Ansicht > "Erweiterte Features") auf die zu überwachenden Gruppen,Container oder OUs einschränken.
Das funktioniert IMHO aber nur wenn man in der SecurityPolicy stattdessen die Überwachung für den DS-Zugriff aktiviert und dann die Events 5136,5141,etc. überwacht, anstatt die Überwachung über Kontenverwaltung > Sicherheitsgruppenverwaltung überwachen zu machen, so wie du das jetzt im Moment machst.

Um mit deinen jetzigen Überwachungseinstellungen z.B. das Hinzufügen oder Entfernen von Mitgliedern in einer bestimmten Gruppe zu erfassen sähe das so aus
01.
<QueryList> 
02.
  <Query Id="0" Path="Security"> 
03.
    <Select Path="Security">*[System[(EventID=4728 or EventID=4729) and (Task=13826)] and EventData[Data[@Name="TargetUsername"]="Domain Admins"]]</Select> 
04.
  </Query> 
05.
</QueryList>
Das lässt sich natürlich um weitere Einträge via ODER-Verknüpfung erweitern.

Beispiel um zwei Gruppen zu überwachen:
01.
<QueryList> 
02.
  <Query Id="0" Path="Security"> 
03.
    <Select Path="Security">*[System[(EventID=4728 or EventID=4729) and (Task=13826)] and EventData[Data[@Name="TargetUsername"] and (Data="Domain Admins" or Data="Enterprise Admins")]]</Select> 
04.
  </Query> 
05.
</QueryList>
Für die Analyse welche Eigenschaften ein Event bietet ist die XML-Ansichtsseite welche bei Doppelklick auf einen Event auf dem Tab Details sichtbar ist, sehr hilfreich.

2309709ccd057fe2105efef41df8e471 - Klicke auf das Bild, um es zu vergrößern

Hier wird das XPath-Filtering-Prozedere auch ziemlich gut beschrieben, wenn man einmal durchgestiegen ist, ist das kein Hexenwerk mehr
http://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filter ...

Grüße Uwe
Bitte warten ..
Mitglied: u0206084
27.10.2014 um 18:06 Uhr
Vielen Dank

werds mir anschauen. Denke das hilft mir weiter.

Gruß Martin
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Active Directory verschachtelte Gruppen - Verteilerliste
gelöst Frage von SKHROITExchange Server6 Kommentare

Hallo liebe Mitglieder, ich benötige eine AD Gruppe Global (Sicherheit(Gruppe 1)) die Mitglied einer AD Gruppe Universal (Sicherheit(Gruppe 2)) ...

Batch & Shell
Powershell alle Active Directory Gruppen auslesen mit enthaltenen Benutzern
Frage von Berti1Batch & Shell6 Kommentare

Hallo, bin PS Neuling und wir benötigen hier eine Auswertung von unseren Gruppen inkl. Anwender. Aufgabenstellung: Alle Berechtigungsgruppen auslesen ...

Ubuntu
Linux, Änderungen am Dateisystem überwachen
Frage von StefanKittelUbuntu3 Kommentare

Hallo, kennt Jemand von Euch eine Möglichkeit Änderungen am Dateisystem bei Linux (Ubuntu 14.04 LTS) zu protokollieren? Es geht ...

Windows Netzwerk
Frage zum Hinzufügen einer Gruppe zu einem User im Active Directory
Frage von ScrollerWindows Netzwerk1 Kommentar

Hi, Hallo, wir haben für die Berechtigung im Filesystem Gruppen angelegt. Die Namen entsprechen der Ordnerstruktur. Bsp: für c:\ebene1\ebene2\ebene3 ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 104 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
Frage von HelloWorldBatch & Shell13 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...