Comment surveiller les changements d'appartenance aux groupes Active Directory
Audit natif contre Netwrix Auditor for Active Directory
Netwrix Auditor pour Active Directory
- Exécutez Netwrix Auditor → Cliquez sur « Rapports » → Ouvrez « Active Directory » → Allez à « Modifications d'Active Directory » → Sélectionnez « Modifications des appartenances aux groupes de sécurité » → Cliquez sur « Afficher ».
- Si vous souhaitez recevoir ce rapport par e-mail régulièrement, cliquez sur l'option "S'abonner" et définissez le calendrier et les destinataires.
- Pour exporter le rapport en PDF, cliquez sur le bouton « Enregistrer » et sélectionnez l'emplacement où vous souhaitez sauvegarder le fichier.
Audit Natif
Pour surveiller les modifications d'appartenance aux groupes AD avec PowerShell :
- Ouvrez l'ISE de PowerShell.
- Copiez et exécutez le script suivant, en ajustant la période dans le code PowerShell :
# Get domain controllers list
$DCs = Get-ADDomainController -Filter *
# Define timeframe for report (default is 1 day)
$startDate = (get-date).AddDays(-1)
# Store group membership changes events from the security event logs in an array.
foreach ($DC in $DCs){
$events = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4728 -or $_.eventID -eq 4729}}
# Loop through each stored event; print all changes to security global group members with when, who, what details.
foreach ($e in $events){
# Member Added to Group
if (($e.EventID -eq 4728 )){
write-host "Group: "$e.ReplacementStrings[2] "`tAction: Member added `tWhen: "$e.TimeGenerated "`tWho: "$e.ReplacementStrings[6] "`tAccount added: "$e.ReplacementStrings[0]
}
# Member Removed from Group
if (($e.EventID -eq 4729 )) {
write-host "Group: "$e.ReplacementStrings[2] "`tAction: Member removed `tWhen: "$e.TimeGenerated "`tWho: "$e.ReplacementStrings[6] "`tAccount removed: "$e.ReplacementStrings[0]
}}
En savoir plus sur Netwrix Auditor for Active Directory
Auditez les modifications des appartenances aux groupes Active Directory
Il est recommandé par les meilleures pratiques de contrôler les permissions d'accès en assignant les utilisateurs à des groupes Active Directory. Bien sûr, l'attribution des permissions n'est pas une tâche à réaliser une seule fois ; les administrateurs de domaine ont la tâche incessante de s'assurer que l'appartenance de chaque utilisateur aux groupes est exactement ce dont ils ont besoin pour leur travail. Une manière d'aborder cette question est d'utiliser un script PowerShell pour collecter le journal de sécurité Windows et suivre les changements d'appartenance aux groupes de comptes. Vous pouvez soit exécuter le script manuellement de temps en temps, soit utiliser le planificateur de tâches Windows pour l'exécuter automatiquement.
Mais il existe une bien meilleure manière de surveiller les changements d'appartenance aux groupes AD : recevez automatiquement le rapport « Security Group Membership Changes » de Netwrix Auditor dans votre boîte mail ou téléchargez-le sur un partage de fichiers Windows Server selon le planning que vous avez défini. Le rapport fournit tous les détails nécessaires pour les audits et les enquêtes, dans un format facile à lire et à comprendre.
L'audit des modifications d'appartenance aux groupes n'est pas la seule fonctionnalité de Netwrix Auditor for Active Directory. Vous pouvez également facilement examiner l'état de l'appartenance aux groupes AD, les comptes utilisateurs et leurs paramètres, les modifications apportées à AD et aux objets de stratégie de groupe (GPO), ainsi que les connexions interactives et non interactives. Vous pouvez facilement exporter tout rapport au format pdf ou csv vers un ordinateur local ou un partage de fichiers pour un examen et une investigation plus approfondis.
Partager sur