locked
Descobrir quem logou a maquina no dominio RRS feed

  • Pergunta

  • Boa tarde galera

    Gostaria de saber se tem como, por exemplo a pessoa ingresso um computador no dominio, gostaria de saber se isso é registrado no AD, que usuario ingressou aquele computador, procurei no EventViewer nao achei nada. Se tiver outro lugar me avise.

    Ate
    Foi util, marque!! http://worklan.blogspot.com/
    sexta-feira, 9 de outubro de 2009 20:29

Respostas

  • Marcus,

    Por padrão Usuários Autenticados no domínio tem permissão para inserir 10 máquinas no dominio sendo que isso pode ser configurado para não permitir seu usuário a fazer isso usando o ADSIedit.msc ;

    Limitando ingresso de estações de trabalho no domínio
    http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=149

    Por este motivo seu usuário conseguiu adicionar uma máquina no dominio.

    Agora caso voce queira um controle maior sobre usuários e objetos aconselho voce a habilitar a auditoria que irá lhe trazer informações mais detalhadas;

    Auditoria de objetos do Active Directory no Windows Server 2003
    http://support.microsoft.com/kb/814595/pt-br

    Espero que ajude.

    Qualquer duvida post novamente.
    Thiago Pereira | http://thiagoinfrat.spaces.live.com | http://www.winsec.org
    sexta-feira, 9 de outubro de 2009 21:24
    Moderador

Todas as Respostas

  • Marcus tudo bem?

    Não sei se entendi direito sua dúvida mas voce quer saber como o Active Directory trata a requisição de logon no dominio é isso? Se não for fique a vontade para perguntar novamente.

    Para efetuar o logon, o cliente estabelece uma conexão LDAP com um controlador de domínio. O logon usa o SAM (Security Accounts Manager). Como o caminho de comunicação usa a interface LDAP e o cliente é autenticado por um controlador de domínio, a conta do cliente é verificada e transmitida ao agente de serviço do diretório (passando por SAM), à camada de banco de dados e, por fim, ao banco de dados contido no ESE (Extensible Storage engine).

    A ESE (Esent.dll) banco de dados usa um conceito de transações discretas e arquivos de log para garantir a integridade do Active Directory. Cada pedido ao DSA para adicionar, alterar ou excluir um objeto ou atributo é tratada como uma transação individual. Como estas operações ocorrem em cada controlador de domínio, eles são gravados em uma série de arquivos de log que estão associados com cada arquivo Ntds.dit.

    Resumindo, o processo acima esta tudo voltado para o arquivo NTDS.dit que tambem armazena estes Logs de toda a Base de Dados do AD.

    Voce pode encontrar mais informações nos seguintes links;

    Como os Controladores de Domínio São Localizados no Windows XP
    http://support.microsoft.com/?id=314861

    Extensible Storage Engine
    http://technet.microsoft.com/en-us/library/cc961824.aspx

    Active Directory Data Storage
    http://technet.microsoft.com/en-us/library/cc961774.aspx

    Espero que lhe ajude.

    Qualquer dúvida post novamente.

    []`s


    Thiago Pereira | http://thiagoinfrat.spaces.live.com | http://www.winsec.org
    sexta-feira, 9 de outubro de 2009 21:01
    Moderador
  • E assim Thiago, eu tenho um usuario na rede, tive problemas com ele, aii fui de deixei ele so como domain user, agora hoje ele conseguiu ingressar uma maquina nova no dominio, gostaria de saber com que usuario ele conseguiu fazer isso.
    Foi util, marque!! http://worklan.blogspot.com/
    sexta-feira, 9 de outubro de 2009 21:05
  • Marcus,

    Por padrão Usuários Autenticados no domínio tem permissão para inserir 10 máquinas no dominio sendo que isso pode ser configurado para não permitir seu usuário a fazer isso usando o ADSIedit.msc ;

    Limitando ingresso de estações de trabalho no domínio
    http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=149

    Por este motivo seu usuário conseguiu adicionar uma máquina no dominio.

    Agora caso voce queira um controle maior sobre usuários e objetos aconselho voce a habilitar a auditoria que irá lhe trazer informações mais detalhadas;

    Auditoria de objetos do Active Directory no Windows Server 2003
    http://support.microsoft.com/kb/814595/pt-br

    Espero que ajude.

    Qualquer duvida post novamente.
    Thiago Pereira | http://thiagoinfrat.spaces.live.com | http://www.winsec.org
    sexta-feira, 9 de outubro de 2009 21:24
    Moderador
  • Valeu Thiago mas nao me adiantou, eu preciso descobrir algum evento que fale com qual usuario aquela maquina foi inserida no dominio, ativar a auditoria no usuario agora nao iria adiantar pois a maquina ja esta no dominio.
    Foi util, marque!! http://worklan.blogspot.com/
    sexta-feira, 9 de outubro de 2009 21:35
  • Marcus,

    Nos eventos de segurança do seu Domain Controller provavelmente voce encontrará um evento que começe com 6xx.

    Traz a informação completa para voce.
    Valide seu DC e post novamente.

    []`s
    Thiago Pereira | http://thiagoinfrat.spaces.live.com | http://www.winsec.org
    sexta-feira, 9 de outubro de 2009 22:06
    Moderador
  • Olá,

    Dá uma olhada no evento 645 (criacao de conta de computador no dominio)


    Até mais,

    Jesiel

    Obs.: Se útil, classifique


    sábado, 10 de outubro de 2009 02:57
  • Bom dia

    Então procurei nos eventos do DC na parte de security nao tem nada.


    Foi util, marque!! http://worklan.blogspot.com/
    sábado, 10 de outubro de 2009 11:17
  • Olá Marcus,

    Não tinha em atentado nisso antes, mas voce conseguirá visualizar este evento apenas se tiver a Politica de Auditoria Habilitada em seu ambiente.

    Auditing in Windows Server
    http://blogs.dirteam.com/blogs/jorge/archive/2008/04/29/auditing-in-windows-server-2008.aspx

    Sendo assim voce realmente não irá encontrar o evento.

    Agora assumindo de que voce Delegou Permissão para esta tarefa em seu ambiente voce também pode validar o Owner do Objeto.

    Caso voce também use a Delegação de Controle, habilite a visualização Avançada do seu Active Directory> botão direito no Computer Object > Security Advanced > Owner ( http://www.petri.co.il/forums/showthread.php?t=8118 )

    Espero que lhe ajude.

    []`s
    Thiago Pereira | http://thiagoinfrat.spaces.live.com | http://www.winsec.org
    sábado, 10 de outubro de 2009 16:02
    Moderador
  • Valeu galera, descobri ele ingresso com o usuario dele mesmo, por causa daquilo que o Thiago falo.
    menos mal, agora precisa acerta as coisas aqui, valeu galera.

    Ate+
    Foi util, marque!! http://worklan.blogspot.com/
    terça-feira, 13 de outubro de 2009 12:02