Wie man Änderungen an der Mitgliedschaft von Active Directory-Gruppen überwacht
Native Auditing vs. Netwrix Auditor for Active Directory
Netwrix Auditor für Active Directory
- Starten Sie Netwrix Auditor → Klicken Sie auf „Berichte“ → Öffnen Sie „Active Directory“ → Gehen Sie zu „Änderungen im Active Directory“ → Wählen Sie „Sicherheitsgruppenmitgliedschaftsänderungen“ → Klicken Sie auf „Anzeigen“.
- Wenn Sie diesen Bericht regelmäßig per E-Mail erhalten möchten, klicken Sie auf die Option "Abonnieren" und definieren Sie den Zeitplan und die Empfänger.
- Um den Bericht als PDF zu exportieren, klicken Sie auf die Schaltfläche „Speichern“ und wählen Sie aus, wo Sie die Datei speichern möchten.
Native Auditing
Um AD-Gruppenmitgliedschaftsänderungen mit PowerShell zu überwachen:
- Öffnen Sie die PowerShell ISE.
- Kopieren und führen Sie das folgende Skript aus, passen Sie dabei den Zeitrahmen im PowerShell-Code an:
# Get domain controllers list
$DCs = Get-ADDomainController -Filter *
# Define timeframe for report (default is 1 day)
$startDate = (get-date).AddDays(-1)
# Store group membership changes events from the security event logs in an array.
foreach ($DC in $DCs){
$events = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4728 -or $_.eventID -eq 4729}}
# Loop through each stored event; print all changes to security global group members with when, who, what details.
foreach ($e in $events){
# Member Added to Group
if (($e.EventID -eq 4728 )){
write-host "Group: "$e.ReplacementStrings[2] "`tAction: Member added `tWhen: "$e.TimeGenerated "`tWho: "$e.ReplacementStrings[6] "`tAccount added: "$e.ReplacementStrings[0]
}
# Member Removed from Group
if (($e.EventID -eq 4729 )) {
write-host "Group: "$e.ReplacementStrings[2] "`tAction: Member removed `tWhen: "$e.TimeGenerated "`tWho: "$e.ReplacementStrings[6] "`tAccount removed: "$e.ReplacementStrings[0]
}}
Erfahren Sie mehr über Netwrix Auditor for Active Directory
Änderungen an der Mitgliedschaft von Active Directory-Gruppen überwachen
Es wird empfohlen, Zugriffsberechtigungen zu kontrollieren, indem Benutzer Active Directory-Gruppen zugewiesen werden. Natürlich ist die Zuweisung von Berechtigungen keine einmalige Aufgabe; Domain-Administratoren haben die endlose Aufgabe sicherzustellen, dass die Gruppenmitgliedschaft jedes Benutzers genau dem entspricht, was sie für ihre Arbeit benötigen. Eine Möglichkeit, dieses Problem anzugehen, besteht darin, ein PowerShell-Skript zu verwenden, um das Windows-Sicherheitsprotokoll zu sammeln und Änderungen an der Gruppenmitgliedschaft von Konten zu verfolgen. Sie können das Skript entweder manuell von Zeit zu Zeit ausführen oder den Windows-Aufgabenplaner verwenden, um es automatisch auszuführen.
Aber es gibt einen viel besseren Weg, um Änderungen an der Mitgliedschaft von AD-Gruppen zu überwachen: Lassen Sie sich den „Security Group Membership Changes“-Bericht von Netwrix Auditor automatisch an Ihr Postfach senden oder auf einem Windows Server-Dateifreigabe nach Ihrem Zeitplan hochladen. Der Bericht liefert alle Details, die Sie für Audits und Untersuchungen benötigen, in einem Format, das leicht zu lesen und zu verstehen ist.
Die Überwachung von Gruppenmitgliedschaftsänderungen ist nicht die einzige Funktion von Netwrix Auditor for Active Directory. Sie können auch leicht den Zustand der AD-Gruppenmitgliedschaft, Benutzerkonten und deren Einstellungen, Änderungen an AD und Gruppenrichtlinienobjekten (GPOs) sowie interaktive und nicht-interaktive Anmeldungen überprüfen. Sie können jeden Bericht problemlos in das PDF- oder CSV-Format exportieren, um ihn auf einem lokalen Computer oder einem Dateifreigabe für weitere Überprüfungen und Untersuchungen zu speichern.
Teilen auf