Auditing Active Directory

Wurde “Audit Directory Service Access” aktiviert, dann werden auch Zugriffe und Veränderungen auf AD-Objekte von dem jeweiligen DC lokal protokolliert. Voraussetzung ist aber auch hier, dass die entsprechenden Objekte für die Überwachung aktiviert wurden. Sie müssten dazu in der MMC erst die erweiterte Ansicht einstellen und dann unter Sicherheit ebenfalls die erweiterten Einstellungen aufrufen.

Hier ein Beispiel eines Eintrags, der beschreibt, dass ein Benutzer "massuser-000004" in die Gruppe "MSXFAQ\sgtest" aufgenommen wird.

Bei Windows 2008 und höher sieht der Event etwas anders aus:

Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Event ID: 5136
Task Category: Directory Service Changes
Level: Information
Keywords: Audit Success user: N/A
Computer: DC1.msxfaq.de
Description:
A directory service object was modified.

Subject:
Security ID: msxfaq\Administrator
Account Name: Administrator
Account Domain: msxfaq
Logon ID: 0x642C4B9

Directory Service:
Name: msxfaq.de
Type: Active Directory Domain Services

Object:
DN: CN=Testgroup,DC=msxfaq,DC=de
GUID: CN=Testgroup,DC=msxfaq,DC=de
Class: group

Attribute:
LDAP Display Name: member
Syntax (OID): 2.5.5.1
Value: CN=Testuser,Anwender,DC=msxfaq,DC=de

Operation:
Type: Value Added
Correlation ID: {2552bda6-a9a6-4925-a99e-d344a364d14b}
Application Correlation ID: -

Um aus diesen einzelnen Events aber letztlich ein "Protokoll der Änderungen " zu erstellen ist noch ein weiter Weg. Hier sind wieder eigene Skripte oder Reportdienste etc. erforderlich, um aus der Summe der Eventlogs die gewünschten Daten zu ermitteln.

Hinweis:
Die Programme AUDITPOL und AUDITUSR erlauben eine feinere Einstellung der Überwachungsrichtlinien per Kommandozeile.

Bis zu einem gewissen Grad lassen sich die Eventlogs aber auch mit Bordmitteln wie Eventtrigger oder seit Windows 2008 auch über den Taskmanager überwachen.

Weitere Links