Come rilevare chi ha aggiunto un utente al gruppo degli Domain Admins
Audit Nativo
- Configurare le impostazioni della Criteri di controllo eseguendo GPMC.msc → Modifica "Criterio di dominio predefinito" → Configurazione computer → Criteri → Impostazioni Windows → Impostazioni di sicurezza → Criteri locali → Criteri di controllo → Controllo gestione account → Definisci → Successo.
- Configura le impostazioni di auditing a livello di oggetto di Active Directory aprendo ADSI Edit → Connetti a "Default naming context" → Clicca su "OK" → Clicca con il tasto destro sull'oggetto DomainDNS con il nome del tuo dominio → Proprietà → Sicurezza (Scheda) → Avanzate (Pulsante) → Auditing (Scheda) → Aggiungi Principale "Everyone" → Tipo "Successo" → Si applica a "Questo oggetto e oggetti discendenti" → Permessi: → Seleziona tutte le caselle tranne le seguenti: "Controllo completo", "Elenca contenuti", "Leggi tutte le proprietà", "Leggi i permessi" → Clicca su "OK".
- Aumentare la capacità del registro eventi di sicurezza eseguendo GPMC.msc → Modifica "Criteri di Dominio Predefiniti" → Configurazione del computer → Criteri → Impostazioni Windows → Impostazioni di sicurezza → Registro eventi → Definisci:
a. Dimensione massima del registro di sicurezza a 1gb
b. Metodo di conservazione del registro di sicurezza su "Sovrascrivi eventi secondo necessità"
Esegui il comando "gpupdate /force". - Esegui eventvwr.msc e filtra il registro di sicurezza per l'ID evento 4728 per rilevare quando gli utenti vengono aggiunti a gruppi globali abilitati alla sicurezza. Il nome del gruppo nel nostro caso è "Domain Admins".
Netwrix Auditor per Active Directory
- Esegui Netwrix Auditor → Vai alla sezione "Avvisi" → Trova l'avviso predefinito "Modifiche Appartenenza Gruppo" → Attivalo: cambia "Modalità" in "Attivo".
- Fare doppio clic sull'avviso → Navigare verso "Destinatari" e specificare gli indirizzi email a cui si desidera che l'avviso venga consegnato.
Ogni volta che qualcuno modifica il gruppo Domain Admins, riceverai un avviso simile:
Condividi su