Active Directory Audit

By 20/09/2012Kadmin

Что бы на почту приходило письмо при каждом изменение в Active Directory, да ещё так что бы в письме всё было подробно расписано – кто, когда и что менял.
Для этого в GPO “Default Domain Controllers Policy” устанавливаем
Computer Configuration – Policies – Windwos Settings – Security Settings – Local Policies – Audit Policy
Audit account logon events Success
Audit account management Success
Audit directory service access Success
Audit logon events Success
Audit object access No auditing
Audit policy change Success
Audit privilege use No auditing
Audit process tracking No auditing
Audit system events Success
Включаем аудит изменений
auditpol /set /subcategory:”directory service changes” /success:enable
Находим нужное OU для аудита и Properties – Security – Advanced – Auditing – Add
Для аудита пользователей добавляем Everyone – Descendant User objects – Write all properties

Теперь события об изменении любого свойства любого пользователя в этом OU будут писаться в лог.
Идём в Event Viewer и создаём новый Custom View например с именем 5141 показывающий события с ID 5141 – удаление объектов AD.


Правой кнопкой по Custom View 5141 – Attach Task to This Custom View – 5141 – Send an e-mail (нужен smtp серер)
Пишем небольшой скрипт на PowerShell (без него можно получать только письма не содержащие сведений о событии)
Навовём его C:UsersadminDesktopauditquery5141.ps1 и конечно подпишем (или отключим необходимость подписывания)

Теперь идём в Task Scheduler – Event Viewer Tasks и находим наш таск 5141 – Properties – Actions – New
Program/script – Powershell
Add arguments – C:UsersadminDesktopauditquery5141.ps1


Ставим выполнение скрипта перед Send an e-mail, переходим на Send an e-mail – Edit – Attachment – C:UsersadminDesktopauditquery5141.txt
Теперь, если кто удалит пользователя в OU в котором настроен аудит мы получим письмо с описанием события во вложении.
Проделываем это процедуру начианя с создания Custom View для событий с другими ID.

Leave a Reply

*