iT邦幫忙

0

AD 紀錄查詢?

AD裡的物件屬性常常被更改,請問怎麼查LOG,看看是誰變更的?謝謝
舉例:USER_A,某個群組被刪除
USER_B,突然增加某個群組
USER_C,被勾選了"密碼永久有效"

zx1657465 iT邦新手 5 級 ‧ 2021-07-29 14:45:55 檢舉
你權限要做控管跟設定阿
3
ahfuyeuem
iT邦新手 4 級 ‧ 2021-07-29 15:04:00

一、AD執行gpedit.msc
電腦設定 > WINDOWS設定 > 安全性設定 > 本機原則 > 稽核原則 > 稽核登入事件
勾選 成功and失敗 > 確定。

有人登入AD時
可以在事件檢視器 > Windows紀錄 > 安全性紀錄 查詢。
事件識別碼: 4624 ,可以看到登入者的名稱、IP、電腦名稱。

二、AD執行Regedit到以下路徑:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
2 Security Events數值改成3。
有人進行使用者變更時可以在事件檢視器 > Windows紀錄 > 安全性紀錄 查詢。

結果範例

  1. 勾選了密碼永久有效:
已變更使用者帳戶。 事件識別碼:4738

主旨:
	安全性識別碼:		DOMAIN\administrator
	帳戶名稱:		administrator
	帳戶網域:		DOMAIN
	登入識別碼:		0x77175

目標帳戶:
	安全性識別碼:		DOMAIN\USER01
	帳戶名稱:		USER01
	帳戶網域:		DOMAIN

變更的屬性:
	SAM 帳戶名稱:	-
	顯示名稱:		-
	使用者主體名稱:	-
	主目錄:		-
	主磁碟:		-
	指令檔路徑:		-
	設定檔路徑:		-
	使用者工作站:	-
	最近的密碼設定:	-
	帳戶有效期:		-
	主要群組識別碼:	-
	允許委派於:	-
	舊的 UAC 數值:		0x10
	新的 UAC 數值:		0x210
	使用者帳戶控制:	
		'密碼不會到期' - 啟用
	使用者參數:	-
	SID 歷程記錄:		-
	登入時段:		-

其他資訊:
	特殊權限:		-
  1. 突然增加某個群組
已新增成員到安全性啟用萬用群組。 事件識別碼:4756

主旨:
	安全性識別碼:		DOMAIN\administrator
	帳戶名稱:		administrator
	帳戶網域:		DOMAIN
	登入識別碼:		0x77175

成員:
	安全性識別碼:		DOMAIN\USER01
	帳戶名稱:		CN=USER01,OU=USER,DC=domain,DC=com

群組:
	安全性識別碼:		DOMAIN\administrators
	帳戶名稱:		admin
	帳戶網域:		DOMAIN

其他資訊:
	特殊權限:		
```-
0
lion_inin
iT邦新手 3 級 ‧ 2021-07-29 15:19:08

我抓LOG的作法跟1樓A大的一樣,另外照你的樣子,感覺應該是大家想使用都可以使用

建議您在使用管理上做些更改

  1. AD主機應放在有門禁之地方,避免不受授權之人直接使用
  2. 應限制此台遠端連線功能(或者只開放給授權人士),避免不受授權之人透過網路登入
  3. 控管能夠登入此主機的帳號,確保只有授權人士可以登入
  4. 建議更動時可以走申請的方式,向主管申請更動後才能更動,保留變更的實體紀錄
0
seei
iT邦新手 2 級 ‧ 2021-08-03 13:30:47

還有一個簡單的方法, 有一套產品叫 adaudit , 需付費的, 但有一個月的試用期
安裝設定超簡單, 所以你可以用快照,每個月一次.. 就...自行體會

使用上非常方便, 可以完全達到你的需求,還可以產生每月定期報表

0
小湯
iT邦研究生 1 級 ‧ 2021-08-04 11:57:36

感覺大家都是網域管理者,是否考慮 :

  1. 控管網域 domain admins group 裡的user.
    2.本機 administrators group 裡的user.

我要發表回答

立即登入回答