Bagaimana untuk mengesan perubahan kepada Unit Organisasi dan kumpulan dalam Active Directory - Bagaimana Untuk

Bagaimana untuk mengesan perubahan kepada Unit Organisasi dan kumpulan dalam Active Directory

Apa-apa perubahan tidak sengaja atau berniat jahat ke Unit Organisasi (OU) dan kumpulan dalam Direktori Aktif hampir tidak dapat dielakkan akan menjadi kesakitan di leher untuk jabatan IT. Contohnya, jika OU yang mengandungi "Akaun Pengguna" dipadam, pengguna tidak akan dapat masuk. Orang lain mungkin juga mengalami masalah mengakses perkhidmatan IT seperti e-mel, messenger, SharePoint, dll. Untuk memberi contoh lain, penghapusan daripada OU yang mengandungi "Akaun Komputer" boleh mengakibatkan ketidakupayaan untuk menggunakan dasar kumpulan dan mengakses komputer tersebut menggunakan akaun pengguna domain. Dan sebagai mimpi ngeri admin lama IT, penghapusan OU yang mengandungi "Printers" meninggalkan pengguna tanpa keupayaan untuk menggunakan pencetak dan dengan itu meningkatkan tekanan pada Meja Bantuan.

Terdapat juga kesan negatif yang lain. Untuk mengelakkannya, adalah perlu untuk memantau perubahan kepada Unit Organisasi dan kumpulan Direktori Aktif secara teratur dan segera bertindak balas kepada yang tidak diingini.

6 langkah total

Langkah 1: Konfigurasikan Dasar Audit

Jalankan GPMC.msc (url2open.com/gpmc) → Klik kanan "Dasar Domain Lalai" dan pilih "Edit" → Konfigurasi Komputer → Dasar → Tetapan Windows → Tetapan Keselamatan → Dasar Tempatan → Dasar Audit:
- Pengurusan akaun audit → Tentukan → Kejayaan
- Akses perkhidmatan direktori audit → Tentukan → Kejayaan.

Langkah 2: Konfigurasikan Log Acara

Kembali ke tahap Tetapan Keselamatan → Log Peristiwa:
- Saiz log keselamatan maksimum → Tentukan kepada 1gb
- Kaedah penahan untuk log keselamatan → Tentukan untuk menindih peristiwa yang diperlukan.

Langkah 3: Jalankan arahan "gpupdate / force".

Langkah 4: Konfigurasikan ADSI Edit

Buka ADSI Edit (url2open.com/adsi) → Klik kanan ADSI Edit → Sambung ke konteks penamaan lalai → Klik kanan DomainDNS objek dengan nama domain anda → Properties → Security (Tab) → Advanced (Button) → Audit (Tab ) → Tambah Principal "Everyone" → Type "Success" → Berkenaan dengan "Objek dan objek Keturunan" → Kebenaran → Pilih semua kotak semak dengan mengklik "Kawalan Penuh", kecuali yang berikut: Kawalan Penuh, Senarai Kandungan, Membaca semua sifat , Baca kebenaran → Klik "OK".

Langkah 5: Tap Log Acara Keselamatan

Buka penonton Acara dan penapis Log keselamatan untuk mencari id acara (Windows Server 2003 / 2008-2012):
- 631, 635, 648, 653, 658, 663/4727, 4731, 4754, 4759, 4744, 4749 - Kumpulan dibuat
- 632, 636, 650, 655, 660, 665/4728, 4732, 4756, 4761, 4746, 4751 - Ahli menambah kepada kumpulan
- 633, 637, 651, 656, 661, 666/4729, 4733, 4757, 4762, 4747, 4752 - Ahli dikeluarkan daripada kumpulan
- 634, 638, 652, 662, 667, 657/4730, 4734, 4758, 4748, 4753, 4763 - Kumpulan dihapuskan
- 639, 641, 649, 654, 659, 664/4735, 4737, 4745, 4750, 4755, 4760 - Kumpulan berubah
- 566/4662 - Operasi dilakukan pada objek (OU Changes) (Jenis: Access Service Directory).

Langkah 6: Kes Penggunaan Nyata Nyata

https://www.youtube.com/watch?v=GkG53sEZ2Rk

Peristiwa yang dinyatakan di atas akan mula dirakam dalam log peristiwa keselamatan hanya selepas dasar audit dikonfigurasikan dengan betul.