none
Анализ, уведомление событий системы безобасноти об изменении в AD RRS feed

  • Вопрос

  •  

    Добрый день!

    Чем или как сделать, чтобы при удалении или изменении учетной записи (компьтера, пользователя) уведомляло (например по email) событие по коду события (например код события 646, 647)

     

    А то у меня 2 - й раз пропал компьютер с домена, а в событиях ничего нет. Как будто кто-то подчистил после себя событие. Фантастика Sad

     

    Может будут какие-то другие соображения, зарание спасибо за помощь!!!

    1 сентября 2008 г. 7:50

Ответы

  • Если хотите, чтобы при появлении определённых событий что-то вам отсылалось или проводилась другая деятельность (на ваше усмотрение), то, полагаю, вам нужен EventRigger.

     

    1 сентября 2008 г. 11:27
  • Да неплохо Вариант, но можно использовать и Event Log Watchdog, но это и другое стоит денег (или нужно лекарство).

     

    1 сентября 2008 г. 12:09

Все ответы

  • Для включения аудита доступа к объектам Active Directory необходимо посредством групповой политики включить на необходимых контроллерах домена опцию Computer Configuration - Policices - Windows Settings - Security Settings - Local Policies - Audit Policies - Audit directory service access на Success/Failure в зависимости от того, хотите ли Вы отслеживать успешные или неудавшииеся операции.
    Затем в свойствах соответствующих объектов AD (или в свойствах контейнера, содержащего эти объекты) перейти на вкладку Security - Advanced - Auditing. Здесь нужно добавить учетные записи, под которыми выполняются отслеживаемые операции (например, учетные записи пользователей, обладающие правами на удаления компьютеров и пользователей). Затем на вкладке Object Вы можете указать конкретные типы объектов за операциями над которыми нужно следить (например, All Descendant Computer Object) и типы самих операций (Delete - Success).
    После этих операций в журналах событий будут отражены события, описывающие дествия над указанными Вами объектами.
    1 сентября 2008 г. 9:39
  •  

    Вопрос не в том как вкл аудит. Аудит включен и все события пишутся. А в том чтобы уведомления можно было получить персонально
    1 сентября 2008 г. 10:35
  • что значит "персонально"?

     

    1 сентября 2008 г. 10:41
  • Если у Вас в домене существует несколько пользователей с одинаковыми административными правами, то на любое Ваше действие любой из них придумает противодействие (если совсем уж сгустить краски)

    Поэтому, с моей точки зрения, наиболее адекватный выход из этой ситуации - ограничить количество пользователей с административными полномочиями (лучше вариант - одним пользователем), а другим "бывшим" администраторам делегировать выполнение четко ограниченного круга задач (заодно запретив удаление объектов в OU)

    1 сентября 2008 г. 10:42
  •  

    100% согласен. Но у нас есть управление инф. безопасностю у которых права не могу забрать, политика такая в компании. Если заберу будет куча вони. Вот так. Не все так красиво. Нужно какое-то решение чтобы мониторить интересующие мне события. Может какойто - скриптик
    1 сентября 2008 г. 11:08
  • Если хотите, чтобы при появлении определённых событий что-то вам отсылалось или проводилась другая деятельность (на ваше усмотрение), то, полагаю, вам нужен EventRigger.

     

    1 сентября 2008 г. 11:27
  • Да неплохо Вариант, но можно использовать и Event Log Watchdog, но это и другое стоит денег (или нужно лекарство).

     

    1 сентября 2008 г. 12:09
  •  

    Ну вы уж определитесь сами. Мы подсказали вам решение. А вы можете принять или отказаться.
    1 сентября 2008 г. 12:24
  •  Sergey123456789 написано:

    Да неплохо Вариант, но можно использовать и Event Log Watchdog, но это и другое стоит денег (или нужно лекарство).

     

     

    Можно использовать встроенные средства, но это сильно ручная работа.

    1 сентября 2008 г. 12:40
    Модератор