Como monitorar mudanças na associação de grupos do Active Directory
Auditoria Nativa vs. Netwrix Auditor for Active Directory
Netwrix Auditor para Active Directory
- Execute o Netwrix Auditor → Clique em “Relatórios” → Abra “Active Directory” → Vá para “Mudanças no Active Directory” → Selecione “Alterações na Associação de Grupos de Segurança” → Clique em “Visualizar”.
- Se você deseja receber este relatório por e-mail regularmente, clique na opção "Inscrever-se" e defina o cronograma e os destinatários.
- Para exportar o relatório para PDF, clique no botão “Salvar” e selecione onde deseja salvar o arquivo.
Auditoria Nativa
Para monitorar alterações na associação de grupos do AD com o PowerShell:
- Abra o PowerShell ISE.
- Copie e execute o seguinte script, ajustando o intervalo de tempo no código PowerShell:
# Get domain controllers list
$DCs = Get-ADDomainController -Filter *
# Define timeframe for report (default is 1 day)
$startDate = (get-date).AddDays(-1)
# Store group membership changes events from the security event logs in an array.
foreach ($DC in $DCs){
$events = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4728 -or $_.eventID -eq 4729}}
# Loop through each stored event; print all changes to security global group members with when, who, what details.
foreach ($e in $events){
# Member Added to Group
if (($e.EventID -eq 4728 )){
write-host "Group: "$e.ReplacementStrings[2] "`tAction: Member added `tWhen: "$e.TimeGenerated "`tWho: "$e.ReplacementStrings[6] "`tAccount added: "$e.ReplacementStrings[0]
}
# Member Removed from Group
if (($e.EventID -eq 4729 )) {
write-host "Group: "$e.ReplacementStrings[2] "`tAction: Member removed `tWhen: "$e.TimeGenerated "`tWho: "$e.ReplacementStrings[6] "`tAccount removed: "$e.ReplacementStrings[0]
}}
Saiba mais sobre Netwrix Auditor for Active Directory
Auditar Alterações na Associação de Grupos do Active Directory
As melhores práticas recomendam controlar as permissões de acesso atribuindo usuários a grupos do Active Directory. Claro, a atribuição de permissões não é uma tarefa única; os administradores de domínio têm o trabalho contínuo de garantir que a associação de cada usuário ao grupo seja exatamente o que eles precisam para realizar seu trabalho. Uma maneira de abordar essa questão é usar um script do PowerShell para coletar o log de Segurança do Windows e rastrear as alterações na associação de grupos de contas. Você pode executar o script manualmente de vez em quando ou usar o agendador de tarefas do Windows para executá-lo automaticamente.
Mas existe uma maneira muito melhor de monitorar as alterações de membros de grupos do AD: receba o relatório “Security Group Membership Changes” do Netwrix Auditor automaticamente em seu e-mail ou carregado em um compartilhamento de arquivos do Windows Server conforme a programação que você especificar. O relatório fornece todos os detalhes necessários para auditorias e investigações, em um formato fácil de ler e compreender.
Auditar alterações na associação de grupos não é a única funcionalidade do Netwrix Auditor for Active Directory. Você também pode facilmente revisar o estado da associação de grupos AD, contas de usuários e suas configurações, alterações no AD e em Objetos de Política de Grupo (GPOs), além de logons interativos e não interativos. Você pode exportar facilmente qualquer relatório para formato pdf ou csv para o computador local ou um compartilhamento de arquivo para revisão e investigação posterior.
Compartilhar em