Meilleur auteur de réponses
policy qui émet une alerte lorsqu’un user particulier se logue

Question
-
Bonjour Tout le Monde,
Une petite question sur les possibilités de Scom 2007 R2 :
Peut-on sur les serveurs ou SCOM est installé déployé une policy qui émet une alerte lorsqu’un user particulier se logue ?
On a un user ASRV02 avec des pouvoirs on cherche à supprimer ce compte de partout, mais on n’a pas d’auditing déployé sur les serveurs.
Les logs seulement sur les DC ne permettent pas d’aller vite.
merci à tous pour vos réponses.
Cdt
David
Réponses
-
Bonjour,
Oui, c'est possible. Il suffit de créer une règle d'alerte sur évènement en choississant le journal de sécurité puis en donnant comme critère l'évènement 4624 (ou 528,540 sous Windows 2003) avec comme second critère le nom de l'utilisateur contenu dans le champ EventDescription.
Pour plus d'information sur ces évènements : http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624 .
Il faut bien sûr que l'audit logon/logoff soit activé dans la stratégie de sécurité.
Par ailleurs, vous pouvez déployer le module ACS de SCOM qui permet de collecter sur une base centrale tous les évènements de sécurité afin de faire des rapports.
Cordialement,
Yann Gainche MVP Cloud and Datacenter Management http://www.gainche.net
- Proposé comme réponse Dan BajenaruMicrosoft employee lundi 6 août 2012 12:45
- Marqué comme réponse Dan BajenaruMicrosoft employee lundi 6 août 2012 13:20
Toutes les réponses
-
Bonjour,
Oui, c'est possible. Il suffit de créer une règle d'alerte sur évènement en choississant le journal de sécurité puis en donnant comme critère l'évènement 4624 (ou 528,540 sous Windows 2003) avec comme second critère le nom de l'utilisateur contenu dans le champ EventDescription.
Pour plus d'information sur ces évènements : http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624 .
Il faut bien sûr que l'audit logon/logoff soit activé dans la stratégie de sécurité.
Par ailleurs, vous pouvez déployer le module ACS de SCOM qui permet de collecter sur une base centrale tous les évènements de sécurité afin de faire des rapports.
Cordialement,
Yann Gainche MVP Cloud and Datacenter Management http://www.gainche.net
- Proposé comme réponse Dan BajenaruMicrosoft employee lundi 6 août 2012 12:45
- Marqué comme réponse Dan BajenaruMicrosoft employee lundi 6 août 2012 13:20
-