Cómo monitorear los cambios en la membresía de grupos de Active Directory
Auditoría nativa vs. Netwrix Auditor p Active Directory
Netwrix Auditor para Active Directory
- Ejecute Netwrix Auditor → Haga clic en “Informes” → Abra “Active Directory” → Vaya a “Cambios en Active Directory” → Seleccione “Cambios en la Membresía de Grupos de Seguridad” → Haga clic en “Ver”.
- Si desea recibir este informe regularmente por correo electrónico, haga clic en la opción "Suscribirse" y defina el horario y los destinatarios.
- Para exportar el informe a PDF, haga clic en el botón “Guardar” y seleccione dónde desea guardar el archivo.
Auditoría Nativa
Para monitorear los cambios en la membresía de grupos de AD con PowerShell:
- Abra el PowerShell ISE.
- Copie y ejecute el siguiente script, ajustando el intervalo de tiempo en el código de PowerShell:
# Get domain controllers list
$DCs = Get-ADDomainController -Filter *
# Define timeframe for report (default is 1 day)
$startDate = (get-date).AddDays(-1)
# Store group membership changes events from the security event logs in an array.
foreach ($DC in $DCs){
$events = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4728 -or $_.eventID -eq 4729}}
# Loop through each stored event; print all changes to security global group members with when, who, what details.
foreach ($e in $events){
# Member Added to Group
if (($e.EventID -eq 4728 )){
write-host "Group: "$e.ReplacementStrings[2] "`tAction: Member added `tWhen: "$e.TimeGenerated "`tWho: "$e.ReplacementStrings[6] "`tAccount added: "$e.ReplacementStrings[0]
}
# Member Removed from Group
if (($e.EventID -eq 4729 )) {
write-host "Group: "$e.ReplacementStrings[2] "`tAction: Member removed `tWhen: "$e.TimeGenerated "`tWho: "$e.ReplacementStrings[6] "`tAccount removed: "$e.ReplacementStrings[0]
}}
Aprenda más sobre Netwrix Auditor for Active Directory
Auditar cambios en la membresía de grupos de Active Directory
Las mejores prácticas recomiendan controlar los permisos de acceso asignando usuarios a grupos de Active Directory. Por supuesto, la asignación de permisos no es una tarea que se hace una sola vez; los administradores de dominio tienen el trabajo interminable de asegurarse de que la membresía de grupo de cada usuario sea exactamente lo que necesitan para realizar su trabajo. Una forma de abordar este problema es utilizar un script de PowerShell para recopilar el registro de seguridad de Windows y rastrear los cambios en la membresía de grupos de cuentas. Puede ejecutar el script manualmente de vez en cuando, o utilizar el programador de tareas de Windows para ejecutarlo automáticamente.
Pero hay una manera mucho mejor de monitorear los cambios en la membresía de grupos de AD: obtener el informe “Security Group Membership Changes” de Netwrix Auditor entregado automáticamente a su buzón de correo o subido a un recurso compartido de archivos de Windows Server en el horario que usted especifique. El informe proporciona todos los detalles que necesita para auditorías e investigaciones, en un formato que es fácil de leer y comprender.
Auditar los cambios en la membresía de grupos no es la única función de Netwrix Auditor for Active Directory. También puede revisar el estado de la membresía de grupos de AD, las cuentas de usuario y sus configuraciones, los cambios en AD y en los objetos de Directiva de Grupo (GPOs), así como los inicios de sesión interactivos y no interactivos. Puede exportar fácilmente cualquier informe a formato pdf o csv al ordenador local o a un recurso compartido de archivos para su posterior revisión e investigación.
Compartir en