Active Directory User gelöscht, nur wer

[Tenchuu 10]

Nehmen wir an dass ein User gelöscht wurde, welche Möglichkeiten habe ich um herauszufinden wer diesen User gelöscht hat. Im Eventlog konnte ich leider nichts finden, jetzt ist nur die Frage ob das irgendwie zurückzuverfolgen ist.

Die NTDS Logfiles sind so ja nicht lesbar.

 

Bzw. wäre noch die Möglichkeit das einzuschränken, von welchem DC aus die Userentfernung rausrepliziert wurde? Uhrzeit, usw. das alles wäre interessant.

[nobex 10]

M.E. hast Du ohne aktivierte Überwachung auf den DCs schlechte Karten bei der Suche nach dem Übeltäter.

Evtl. gibt es hier aber noch hilfreichere Vorschläge :)

[Daim 12]

Moin,

 

M.E. hast Du ohne aktivierte Überwachung auf den DCs schlechte Karten bei der Suche nach dem Übeltäter.

 

da hast du aber auch sowas von Recht ;) .

 

 

Evtl. gibt es hier aber noch hilfreichere Vorschläge :)

 

JETZT, wo der User bereits gelöscht und die Richtlinie nicht aktiviert war = No Chance :( .

Der OP kann für die Zukunft folgende Policy aktivieren:

 

Computerkonfiguration\Windows-Einstellungen\

Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie\Objektzugriffsversuche überwachen

 

Erst ab dann, wird die eingestellte Option protokolliert.

 

Wie immer an dieser Stelle wenn es um Protokollierung geht:

 

Eine Protokollierung ist vom Betriebsrat zu genehmigen!

[Tenchuu 10]

OK, wie siehts mit Replizierung aus? Wird die Replizierung gelogged, was von welchem DC gekommen ist um welche Uhrzeit? Das wäre noch eine Möglichkeit das einzuschränken ohne Objektzugriffsprotokollierung.

 

Wie immer an dieser Stelle wenn es um Protokollierung geht:

"Ich werd euch finden, werd euch jagen, werd euch hetzen, werd euch plagen! Jedes Übel hier auf Erden, schrecklich tausendfach verderben! Soll von heut an euch und jedem eurer Sippe ewig kleben!"

Eichenschild - Der Fluch ;)

[Daim 12]

OK, wie siehts mit Replizierung aus? Wird die Replizierung gelogged, was von welchem DC gekommen ist um welche Uhrzeit? Das wäre noch eine Möglichkeit das einzuschränken ohne Objektzugriffsprotokollierung.

 

The same Procedure.

Ohne vorher eingestelltes "verfeinertes" protokollieren der AD-Replikation - das ohnehin NUR beim Troubleshooting eingestellt werden sollte, da ansonsten der Überblick anhand der Menge auf der Strecke bleibt - No Chance!

 

 

Wie immer an dieser Stelle wenn es um Protokollierung geht:

"Ich werd euch finden, werd euch jagen, werd euch hetzen, werd euch plagen! Jedes Übel hier auf Erden, schrecklich tausendfach verderben! Soll von heut an euch und jedem eurer Sippe ewig kleben!"

Eichenschild - Der Fluch ;)

 

Morituri te salutant :cool: .

[Tenchuu 10]

Gut,

 

vielen Dank trotzdem für die Info, hatte ich zwar befürchtet, aber ab und bleit halt doch ein Hintertürchen offen vor dem man sich nicht verschließen sollte ;)

 

Dann bleiben nur noch Verhör und Folter...

[blub 115]

Hallo Technuu,

 

wieviele DCs hast du?

 

Mit dem logparser kannst du bequem die Securitylogs deiner DCs nach dem Event 630 (=User account deleted) durchsuchen. Schau mal in unserem Windows Server How-To Guides: Home - ServerHowTo.de , da gibt es einen Artikel zum logparser

 

Wenn du die Default domain controller policy nicht verändert hast (speziell das "audit account management") und der Event aus deinem Securitylog noch nicht rausgeflogen ist, findest du damit heraus, wer den User gelöscht hat.

 

 

---

du kannst zusätzlich dir mit ldp noch die deletedobjects anzeigen lassen

 

How to restore deleted user accounts and their group memberships in Active Directory

unter How to manually undelete objects in a deleted object's container

 

dann kannst unter dem Attribut "whenchanged" genau sehen, wann der User gelöscht wurde. Das geht solange, bis die tombstonelifetime erreicht ist

 

 

cu

blub