Vprašanje revizije sprememb v storitvi Active Directory je zelo pomembno v infrastrukturah velikih domen, v katerih so pravice do različnih komponent upravljanja Active Directory prenesene širokemu krogu ljudi. V enem od prejšnjih člankov smo na splošno govorili o obstoječih nastavitvah skupinskih pravil, ki omogočajo revizijo sprememb v storitvi Active Directory. Danes bomo pogledali metodologijo za vzdrževanje in sledenje spremembam, ki so jih naredili uporabniki v varnostnih skupinah AD. Oborožen s to tehniko lahko skrbnik domene sledite ustvarjanju, odstranitvi skupin AD, tudi uporabnik dodajanje / odstranjevanje dogodkov v te skupine.
Privzeto krmilniki domen že imajo pravilnik za zbiranje informacij o spremembah v skupinah Active Directory, zabeleženi pa so le uspešni poskusi sprememb.
Omogočamo prisilno beleženje vseh dogodkov o spremembah v skupinah Active Directory s skupinsko politiko. Če želite to narediti, odprite konzolo za upravljanje Group Policy Manager, poiščite in uredite pravilnik Privzeto Domena Krmilnik Politika (ta pravilnik privzeto velja za vse krmilnike domen).
Opomba. Spremljanje revizijskih dogodkov varnostnih skupin domen je smiselno samo na nadzornikih domene.
Pojdimo na naslednji razdelek GPO: Konfiguracija računalnika-> Politike-> Nastavitve sistema Windows-> Varnostne nastavitve-> Napredne nastavitve Revizijska politika-> Revizijska politika -> Upravljanje računa. Zanima nas politika Upravljanje varnostne skupine za revizijo.
Odprimo pravilnik in ga uredimo, kar pomeni, da bodo zbrani kot uspešni (Uspeh) in neuspešno (Neuspeh) spreminjanje dogodkov v varnostnih skupinah domen.
Ostaja še počakati na uporabo spremenjenega GPO na krmilnikih domene ali opraviti ročno posodobitev GPO z ukazom
gpupdate / force.
Zbrane revizijske dogodke si lahko ogledate v varnostnem dnevniku. Za udobje bomo ustvarili ločen pogled dnevnika dogodkov. Če želite to narediti, izberite element v konzoli Windows Event Viewer s kontekstnim menijem Ustvari Po meri Pogled.
V oknu z možnostmi filtriranja ogledov določite:
Po dnevniku - "Varnost"
Vključuje / izključuje ID-je dogodka - Zanimajo nas dogodki z naslednjim dogodkomIDID: 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4754, 4755, 4756, 4757, 4758, 4764.
Opomba. Zbrali smo vse identifikacijske številke dogodkov, ki ustrezajo različnim spremembam v varnostnih skupinah AD. Na primer,
ID 4727 - dogodek za ustvarjanje skupine
ID 4728 - dogodek doda uporabnika v skupino
ID 4729 - odstraniti uporabnika iz skupine
ID 4730 - dogodek brisanja varnostne skupine
Po želji lahko filter natančneje konfigurirate in pustite samo dogodke, ki vas zanimajo.
Spremembe shranite in na primer navedite ime pogleda Spremembe revizijske skupine.
Za preizkus dodajte (s konzolo ADUC) uporabnika JJonson v domensko skupino Network Admins. Nato odpremo in posodobimo pogled, ki smo ga ustvarili.
Kot vidite, se je v njem pojavilo več novih dogodkov..
Z odprtjem katerega koli dogodka si lahko podrobneje ogledate informacije o izvedenih spremembah. Odprite dogodek s programom EventID 4728. V njeni vsebini je razvidno. da je uporabnik dadmin dodal uporabniški račun JJonson v skupino Network Admins
Zadeva: Varnostni ID: corp \ dadminIzlog računa: dadmin
Domena računa: corp
ID prijave: 0x85A46579
Član:
Varnostna številka: corp \ JJonson
Ime računa: CN = JJonson, OU = uporabniki, OU = računi, DC = corp, DC = loc
Skupina:
Varnostni ID: corp \ Network Admins
Ime skupine: Omrežni skrbniki
Skupinska domena: corp
Če je potrebno, lahko zavezujete potrebne ID-je dogodkov in tako samodejno pošljete e-poštna obvestila varnostnim skrbnikom prek sprožilcev dogodkov.
