locked
Monitoramento de usuários do AD RRS feed

  • Pergunta

  • Pessoal, bom dia.

    Tenha uma lista de usuário no meu AD, que são colaboradores terceiros, tem como padrão de nomenclatura de usuário t.nome.empresa, gostaria de saber se existe alguma maneira de monitorar os eventos de segurança relacionados a esses usuários.

    segunda-feira, 14 de janeiro de 2019 13:23

Respostas

  • Osni, boa tarde!

    Você pode tentar criar um script para dar um find (Localizar) no corpo de mensagens do Event Viewer a procura de uma palavra chave que no seu caso seria o T.nome.empresa, e quando achar, lhe enviar por e-mail.

    Você pode também utilizar o Event Subscription, para encaminhar para um repositório somente os eventos desejados.

    Espero ter lhe ajudado.

    Por favor, não esqueça de votar como útil e/ou marque como resposta.


    Fabiano Fernandes da Silva | Analista de Infraestrutura | MCSE, MCSA, MCITP, MCTS, MCP, VCP, ITIL

    • Sugerido como Resposta IgorFK segunda-feira, 14 de janeiro de 2019 17:08
    • Marcado como Resposta IgorFK segunda-feira, 21 de janeiro de 2019 12:34
    segunda-feira, 14 de janeiro de 2019 16:49

Todas as Respostas

  • Osni, boa tarde!

    Depende... Se você, por exemplo, habilitar o "Audit Policy" de Object Access para monitorar o acessa a pastas em um File Server, você pode colocar os usuários t.nome.empresa em um grupo de adicionar este grupo na aba "Auditing" da pasta que deseja monitorar a atividade (Leitura, gravação, etc).

    Se, por exemplo, habilitar o "Audit Policy" de "Audit Account Management", todos as contas de usuários serão monitoradas.

    No link abaixo tem mais informações:

    https://docs.microsoft.com/pt-br/windows-server/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations

    Espero ter lhe ajudado.

    Por favor, não esqueça de votar como útil e/ou marque como resposta.



    Fabiano Fernandes da Silva | Analista de Infraestrutura | MCSE, MCSA, MCITP, MCTS, MCP, VCP, ITIL

    • Sugerido como Resposta IgorFK segunda-feira, 14 de janeiro de 2019 15:53
    segunda-feira, 14 de janeiro de 2019 14:44
  • Fabiano, boa tarde.

    Obrigado pela resposta. 

    Os eventos que queria monitorar e já estão sendo capturados pelo EventViewer, são os eventos de segurança, tais como: bloqueio, desbloqueio, alteração de senha, etc. 

    Tava pesquisando e vi talvez via script PowerShell eu consiga pegar os eventos diários desses usuário e encaminhar por e-mail. 

    segunda-feira, 14 de janeiro de 2019 16:08
  • Osni, boa tarde!

    Você pode tentar criar um script para dar um find (Localizar) no corpo de mensagens do Event Viewer a procura de uma palavra chave que no seu caso seria o T.nome.empresa, e quando achar, lhe enviar por e-mail.

    Você pode também utilizar o Event Subscription, para encaminhar para um repositório somente os eventos desejados.

    Espero ter lhe ajudado.

    Por favor, não esqueça de votar como útil e/ou marque como resposta.


    Fabiano Fernandes da Silva | Analista de Infraestrutura | MCSE, MCSA, MCITP, MCTS, MCP, VCP, ITIL

    • Sugerido como Resposta IgorFK segunda-feira, 14 de janeiro de 2019 17:08
    • Marcado como Resposta IgorFK segunda-feira, 21 de janeiro de 2019 12:34
    segunda-feira, 14 de janeiro de 2019 16:49
  • Bom dia,

    Por falta de retorno essa thread está sendo encerrada.

    Caso necessário, sinta-se livre para reabrir a thread (desmarcando como resposta) ou se achar mais conveniente, abrir uma nova thread.

    Atenciosamente,

    Igor F. Kunrath

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    Technet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 21 de janeiro de 2019 12:34