iT邦幫忙

0

網域管理者,如何查詢網域內電腦,使用者登入的權限

  • 分享至 

  • xImage

請問大大
公司網域內的電腦,要如何查詢每個使用者登入權限是否被異動
例如:a使用者登入網域的電腦後,原本的a使用者帳號,只有user權限,後來變成power user的權限,謝謝

看更多先前的討論...收起先前的討論...
PIZZ iT邦新手 1 級 ‧ 2024-06-24 14:29:19 檢舉
那個確定不是把帳號加入本機的administrators群組了???
Kailis iT邦研究生 1 級 ‧ 2024-06-24 15:25:49 檢舉
基本上裝adaudit (可免費試用期一個月,每個月裝一次就可以無限使用,當然最好是購買一套,也沒有很貴)
它的功能之一就是可以查到ad 上的異動,人員的權限,群組, 帳號登入,登出删除, 登入失敗 之類的, 功能很多, 你現在安裝, 當天開始就可以查詢了
BKY iT邦好手 1 級 ‧ 2024-06-24 19:26:35 檢舉
現在設稽核也只能查到設定之後的
之前的異動記錄也查不到
先把網域管理者的密碼改掉
然後從知道密碼的人去過濾可能是誰去改了權限
zero iT邦好手 1 級 ‧ 2024-06-24 21:35:18 檢舉
用Powershell自己寫腳本,放在工作排程的讓它登入執行,

檢查現在登入的使用者,在本機的管理者群組內是否為成員
sucksemil iT邦新手 1 級 ‧ 2024-06-25 11:22:31 檢舉
為什麼user可以自己改權限??
harry731 iT邦新手 2 級 ‧ 2024-06-25 15:31:34 檢舉
你的例如為何會出現且成為事實?
a使用者本身是IT管理人員?
阿摔 iT邦新手 3 級 ‧ 2024-06-25 15:43:22 檢舉
權限都拔掉,需要權限的提出需求申請
需求單上需要電腦對應使用者
透過GPO添加使用者權限
a使用者帳號登入網域電腦後,另外一個同事授權將a使用者帳號提升為最高權限,以便安裝報表程式軟體,但是裝完之後,臨時有事,忘了把a使用者帳號,降為user權限,所以,要清查網域內的電腦,有哪幾台電腦裡面的使用者帳號是最高權限的
a使用者帳號登入網域電腦後,另外一個同事授權將a使用者帳號提升為最高權限,以便安裝報表程式軟體,但是裝完之後,臨時有事,忘了把a使用者帳號,降為user權限,所以,要清查網域內的電腦,有哪幾台電腦裡面的使用者帳號是最高權限的
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
a940125
iT邦新手 5 級 ‧ 2024-06-25 21:31:23

基本上你要有SIEM 去收所有網域內電腦的Windows Event Log
可以參考一下Windows EventCode 4732
讀完這個EventCode的相關用途後應該可以在SIEM上面建立搜尋語法
去看A電腦的B使用者把C使用者加入了D群組

我要發表回答

立即登入回答