Come rilevare chi ha eliminato un account computer in Active Directory
Auditing nativo vs. Netwrix Auditor for Active Directory
Netwrix Auditor for Active Directory
- Esegui Netwrix Auditor → Vai su "Cerca" → Clicca su "Modalità avanzata" se non selezionata → Imposta i seguenti filtri:
- Filter = "Origine dati"
Operator = "Uguale a"
Value = "Active Directory" - Filter = "Tipo di oggetto"
Operator = "Uguale a"
Value = "Computer" - Filter = "Azione"
Operator = "Uguale"
Value = "Rimosso"
- Filter = "Origine dati"
- Fai clic sul pulsante "Cerca" e controlla chi ha eliminato gli account computer.
Auditing nativo
- Esegui gpmc.msc → modifica "Criteri di Dominio Predefiniti" → Configurazione del Computer → Criteri → Impostazioni di Windows → Impostazioni di Sicurezza:
- Criteri locali → Criteri di controllo → Controllo gestione account → Definisci → Successo
- Registro eventi → Definire → Dimensione massima del registro di sicurezza a 1gb e Metodo di conservazione del registro di sicurezza su Sovrascrivi eventi secondo necessità.
- Apri ADSI Edit → Connetti a contesto di denominazione predefinito → clic destro su "DC=nome dominio" → Proprietà → Sicurezza (Scheda) → Avanzate → Controllo (Scheda) → Clicca "Aggiungi" → Scegli le seguenti impostazioni:
- Principale: Tutti; Tipo: Successo; Si applica a: Questo oggetto e tutti gli oggetti discendenti; Permessi: Elimina, Elimina sottalbero, Scrivi tutte le proprietà → Clicca su "OK".
- Per definire quale account computer è stato eliminato, filtra il Registro eventi di sicurezza per l'ID evento 4743.
Scopri di più su Netwrix Auditor for Active Directory
Identificare chi ha eliminato gli account computer per evitare errori di autenticazione
La cancellazione impropria di un account utente può causare seri problemi per un'organizzazione. Gli utenti i cui account computer sono stati eliminati non saranno in grado di accedere ai sistemi IT utilizzando la loro autenticazione di dominio. Se sono già connessi, incontreranno difficoltà nell'accedere alla loro email, cartelle condivise, SharePoint e altre risorse. Oltre a questa perdita di produttività, il personale IT deve impiegare tempo per investigare il motivo per cui si è verificato un errore di autenticazione. Per evitare questi problemi, è di vitale importanza rilevare la cancellazione degli account computer in modo tempestivo.
Netwrix Auditor for Active Directory consente una visibilità completa sull'attività in Active Directory e Group Policy fornendo dati di audit utili sugli eventi di accesso e modifiche. Gli avvisi email personalizzabili notificano agli amministratori IT quando qualcuno elimina account computer, così possono rispondere rapidamente alle eliminazioni indesiderate e prevenire i problemi che sorgono quando il sistema non può autenticare un utente. I rapporti di audit contengono dettagli utili, come chi ha eliminato quale account computer e quando e dove è avvenuta la modifica, così gli amministratori possono indagare e prevenire problemi simili in futuro.
Condividi su