Come monitorare le modifiche all'appartenenza di gruppi in Active Directory
Auditing nativo vs. Netwrix Auditor for Active Directory
Netwrix Auditor per Active Directory
- Esegui Netwrix Auditor → Clicca su “Reports” → Apri “Active Directory” → Vai a “Active Directory Changes” → Seleziona “Security Group Membership Changes” → Clicca “View”.
- Se vuoi ricevere regolarmente questo rapporto via email, clicca sull'opzione "Iscriviti" e definisci il programma e i destinatari.
- Per esportare il rapporto in PDF, clicca sul pulsante “Salva” e seleziona dove vuoi salvare il file.
Auditing nativo
Per monitorare le modifiche all'appartenenza di gruppi AD con PowerShell:
- Apri l'ISE di PowerShell.
- Copiate ed eseguite lo script seguente, regolando il lasso di tempo nel codice PowerShell:
# Get domain controllers list
$DCs = Get-ADDomainController -Filter *
# Define timeframe for report (default is 1 day)
$startDate = (get-date).AddDays(-1)
# Store group membership changes events from the security event logs in an array.
foreach ($DC in $DCs){
$events = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4728 -or $_.eventID -eq 4729}}
# Loop through each stored event; print all changes to security global group members with when, who, what details.
foreach ($e in $events){
# Member Added to Group
if (($e.EventID -eq 4728 )){
write-host "Group: "$e.ReplacementStrings[2] "`tAction: Member added `tWhen: "$e.TimeGenerated "`tWho: "$e.ReplacementStrings[6] "`tAccount added: "$e.ReplacementStrings[0]
}
# Member Removed from Group
if (($e.EventID -eq 4729 )) {
write-host "Group: "$e.ReplacementStrings[2] "`tAction: Member removed `tWhen: "$e.TimeGenerated "`tWho: "$e.ReplacementStrings[6] "`tAccount removed: "$e.ReplacementStrings[0]
}}
Scopri di più su Netwrix Auditor for Active Directory
Audita le modifiche all'appartenenza di gruppo di Active Directory
Le migliori pratiche raccomandano di controllare i permessi di accesso assegnando gli utenti ai gruppi di Active Directory. Ovviamente, l'assegnazione dei permessi non è un compito da svolgere una sola volta; gli amministratori di dominio hanno il compito continuo di assicurarsi che l'appartenenza al gruppo di ogni utente sia esattamente ciò di cui hanno bisogno per svolgere il loro lavoro. Un modo per affrontare questo problema è utilizzare uno script PowerShell per raccogliere il log di Sicurezza di Windows e tracciare le modifiche all'appartenenza ai gruppi degli account. Puoi eseguire lo script manualmente di tanto in tanto, oppure utilizzare il pianificatore di attività di Windows per eseguirlo automaticamente.
Ma esiste un modo molto migliore per monitorare le modifiche all'appartenenza ai gruppi AD: ricevere automaticamente il rapporto “Security Group Membership Changes” di Netwrix Auditor nella propria casella di posta o caricarlo su una condivisione file di Windows Server secondo la pianificazione che si specifica. Il rapporto fornisce tutti i dettagli necessari per audit e indagini, in un formato che è facile da leggere e comprendere.
L'audit delle modifiche all'appartenenza di gruppi non è l'unica funzionalità di Netwrix Auditor for Active Directory. Puoi anche facilmente esaminare lo stato dell'appartenenza ai gruppi di AD, gli account utente e le loro impostazioni, le modifiche ad AD e agli oggetti Group Policy (GPO), e sia i logon interattivi che non interattivi. Puoi esportare facilmente qualsiasi report in formato pdf o csv sul computer locale o su una condivisione file per ulteriori controlli e indagini.
Condividi su