none
policy qui émet une alerte lorsqu’un user particulier se logue RRS feed

  • Question

  • Bonjour Tout le Monde,

    Une petite question sur les possibilités de Scom 2007 R2 :

    Peut-on sur les serveurs ou SCOM est installé déployé une policy qui émet une alerte lorsqu’un user particulier se logue ?

    On a un user ASRV02 avec des pouvoirs on cherche à supprimer ce compte de partout, mais on n’a pas d’auditing déployé sur les serveurs.

    Les logs seulement sur les DC ne permettent pas d’aller vite.

    merci à tous pour vos réponses.

    Cdt

    David

    mercredi 1 août 2012 14:30

Réponses

  • Bonjour,

    Oui, c'est possible. Il suffit de créer une règle d'alerte sur évènement en choississant le journal de sécurité puis en donnant comme critère l'évènement 4624 (ou 528,540 sous Windows 2003) avec comme second critère le nom de l'utilisateur contenu dans le champ EventDescription.

    Pour plus d'information sur ces évènements : http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624 .

    Il faut bien sûr que l'audit logon/logoff soit activé dans la stratégie de sécurité.

    Par ailleurs, vous pouvez déployer le module ACS de SCOM qui permet de collecter sur une base centrale tous les évènements de sécurité afin de faire des rapports.

    Cordialement,


    Yann Gainche MVP Cloud and Datacenter Management http://www.gainche.net

    mercredi 1 août 2012 20:05
    Modérateur

Toutes les réponses