Auditing Active Directory
Wurde “Audit Directory Service Access” aktiviert, dann werden auch Zugriffe und Veränderungen auf AD-Objekte von dem jeweiligen DC lokal protokolliert. Voraussetzung ist aber auch hier, dass die entsprechenden Objekte für die Überwachung aktiviert wurden. Sie müssten dazu in der MMC erst die erweiterte Ansicht einstellen und dann unter Sicherheit ebenfalls die erweiterten Einstellungen aufrufen.
Hier ein Beispiel eines Eintrags, der beschreibt, dass ein Benutzer "massUser-000004" in die Gruppe "MSXFAQ\sgtest" aufgenommen wird.
Bei Windows 2008 und höher sieht der Event etwas anders aus:
Log Name: Security Source: Microsoft-Windows-Security-Auditing Event ID: 5136 Task Category: Directory Service Changes Level: Information Keywords: Audit Success User: N/A Computer: DC1.msxfaq.de Description: A directory service object was modified. Subject: Security ID: msxfaq\Administrator Account Name: Administrator Account Domain: msxfaq Logon ID: 0x642C4B9 Directory Service: Name: msxfaq.de Type: Active Directory Domain Services Object: DN: CN=Testgroup,DC=msxfaq,DC=de GUID: CN=Testgroup,DC=msxfaq,DC=de Class: group Attribute: LDAP Display Name: member Syntax (OID): 2.5.5.1 Value: CN=TestUser,Anwender,DC=msxfaq,DC=de Operation: Type: Value Added Correlation ID: {2552bda6-a9a6-4925-a99e-d344a364d14b} Application Correlation ID: -
Um aus diesen einzelnen Events aber letztlich ein "Protokoll der Änderungen " zu erstellen ist noch ein weiter Weg. Hier sind wieder eigene Skripte oder Reportdienste etc. erforderlich, um aus der Summe der Eventlogs die gewünschten Daten zu ermitteln.
Hinweis:
Die Programme AUDITPOL und AUDITUSR erlauben eine feinere Einstellung
der Überwachungsrichtlinien per Kommandozeile.
Bis zu einem gewissen Grad lassen sich die Eventlogs aber auch mit Bordmitteln wie Eventtrigger oder seit Windows 2008 auch über den Taskmanager überwachen.
Weitere Links
-
AD DS Auditing Step-by-Step Guide
http://technet.microsoft.com/en-us/library/cc731607(WS.10).aspx - 814595 HOW TO: Audit Active Directory Objects in Windows Server 2003
- 867640 How to monitor mailbox access by auditing or by viewing Mailbox Resources in Exchange Server
-
Use Auditing Reports in Exchange Online
http://technet.microsoft.com/en-us/exchangelabshelp/ff628722