Como Detectar Quem Modificou Permissões de uma Unidade Organizacional

Auditoria Nativa

1. Execute gpedit.msc → Crie uma nova GPO → Edite-a: Vá até "Configuração do Computador" → Políticas → Configurações do Windows → Configurações de Segurança → Políticas Locais → Política de Auditoria:
   • Audite o acesso ao serviço de diretório → Defina → Sucessos e Falhas.
2. Vá para Event Log → Definir:
   • Tamanho máximo do log de segurança para 4gb
   • Método de retenção para o log de segurança para "Sobrescrever eventos conforme necessário".
3. Vincule a nova GPO à OU: Acesse "Gerenciamento de Política de Grupo" → Clique com o botão direito na OU definida → Escolha "Vincular um GPO Existente" → Escolha a GPO que você criou.
4. Force a atualização da política de grupo: Em "Group Policy Management" clique com o botão direito na OU definida → Clique em "Group Policy Update".
5. Abra o ADSI Edit → Conecte-se ao contexto de nomeação padrão → Clique com o botão direito no objeto domainDNS com o nome do seu domínio → Propriedades → Segurança → Avançado → Auditoria → Adicionar Principal "Todos" → Tipo "Sucesso" → Aplica-se a "Este objeto e objetos descendentes" → Permissões → Selecione todas as caixas de seleção, exceto as seguintes e clique em "OK":
   • Controle Total
   • Listar Conteúdos
   • Leia todas as propriedades
   • Permissões de leitura.
6. Abra o Visualizador de Eventos → Pesquise no log de segurança pelo ID de evento 5136 (um objeto do serviço de diretório foi modificado).
   Após isso, você poderá ver quem modificou as permissões para qual UO com uma lista de descritores de segurança.

Netwrix Auditor for Active Directory

1. Execute o Netwrix Auditor → Clique em "Relatórios" → Navegue até Active Directory → Mudanças no Active Directory → Escolha "Mudanças na Unidade Organizacional" → Clique em "Visualizar".
2. Para salvar um relatório, clique em "Exportar" → PDF → Salvar como → Escolha um local para salvá-lo.