Murf 10 Geschrieben 7. Januar 2010 Melden Teilen Geschrieben 7. Januar 2010 Hallo zusammen, ich habe in unserem AD einige Konten entdeckt, zu denen ich eine Frage an die verantwortlichen habe...jedoch weiß ich nicht, wer diese angelegt hat. Jetzt kann ich an 20 Leute ne Rundmail schicken, keine Antwort bekommen weil sich niemand zuständig fühlt oder derjenige vielleicht schon gar nicht mehr in der Firma ist... Deshalb bin ich auf die Idee gekommen, ob es evtl. ein Attribut "createdBy" oder so ähnlich gibt, aus dem ich die SID o.ä. des Erstellers oder zumindest letzten Bearbeiters lesen kann? Zeit der letzten Änderung und Erstellung gibt's ja auch...Hab leider sonst nichts gefunden. Danke! Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 7. Januar 2010 Melden Teilen Geschrieben 7. Januar 2010 Hallo Murf, fällt mir spontan nur das Auditing ein. Sofern es aktiviert ist, werden Objektänderungen/Löschungen oder Neuanlage von AD Objekten mit den entsprechenden Hinweisen im Security Log protokolliert. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 7. Januar 2010 Melden Teilen Geschrieben 7. Januar 2010 Moin, genau wie NTFS-Dateien haben auch AD-Objekte einen Owner. Das ist normalerweise derjenige, der das Objekt erzeugt hat. Schalte im ADUC die Erweiterte Ansicht an, dann kommst du über die Registerkarte "Sicherheit" daran. Voraussetzung ist aber, dass die Objekte nicht von einem Mitglied der Administratoren-Gruppe erzeugt wurden, denn in dem Fall wäre immer die Administratoren-Gruppe der Besitzer. Als Alternative könnte man nur auf Überwachungsdaten aus dem Security-Log zurückgreifen und die Verbindung über das dort angegebene Userkonto bzw. den Client herstellen, der die Änderung ausgeführt hat. Dazu allerdings müssen die Logs aus der Zeit vorliegen, zu der das Objekt erzeugt wurde ... Gruß, Nils Zitieren Link zu diesem Kommentar
Murf 10 Geschrieben 7. Januar 2010 Autor Melden Teilen Geschrieben 7. Januar 2010 Hallo Murf, fällt mir spontan nur das Auditing ein. Sofern es aktiviert ist, werden Objektänderungen/Löschungen oder Neuanlage von AD Objekten mit den entsprechenden Hinweisen im Security Log protokolliert. Danke, das Auditing ist natürlich nicht aktiv :(, weißt ja, Ressourcen und so... schade... Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 7. Januar 2010 Melden Teilen Geschrieben 7. Januar 2010 Servus, Jetzt kann ich an 20 Leute ne Rundmail schicken, keine Antwort bekommen weil sich niemand zuständig fühlt oder derjenige vielleicht schon gar nicht mehr in der Firma ist... dürfen denn so viele Benutzer Objekte im AD erstellen? Deshalb bin ich auf die Idee gekommen, ob es evtl. ein Attribut "createdBy" oder so ähnlich gibt Nein, dass gibt es nicht. Wenn du die Eventlogs der DCs auswertest, halte nach der EventID 624 Ausschau. Denn standardmäßig wird das Erstellen eines Benutzers im Sicherheitsprotokoll auf dem DC der das Objekt erstellt hat protokolliert. Diese Information wird jedoch nicht zwischen den DCs repliziert. Du müsstest also alle DCs in der Domäne überprüfen. Du kannst höchstens in den erweiterten Sicherheitseinstellungen des Objekts überprüfen, wer der Besitzer des Objekts ist. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 7. Januar 2010 Melden Teilen Geschrieben 7. Januar 2010 Sofern es aktiviert ist, werden Objektänderungen/Löschungen oder Neuanlage von AD Objekten mit den entsprechenden Hinweisen im Security Log protokolliert. Das ist standardmäßig so. Denn in der Default Domain Controllers Policy ist die folgende Policy mit den Ereignissen "Erfolgreich/Fehlgeschlagen" aktiviert. Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie\"Kontenverwaltung überwachen" Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 7. Januar 2010 Melden Teilen Geschrieben 7. Januar 2010 Das ist standardmäßig so. Denn in der Default Domain Controllers Policy ist die folgende Policy mit den Ereignissen "Erfolgreich/Fehlgeschlagen" aktiviert. Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie\"Kontenverwaltung überwachen" Sofern denn keiner mal die Richtlinie deaktiviert hat. ;) Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 7. Januar 2010 Melden Teilen Geschrieben 7. Januar 2010 ... und natürlich ist zu berücksichtigen, dass man für eine langfristige Auswertung einen regelmäßigen Export der Logs benötigt. (Womit wir wieder bei einem meiner Lieblingsthemen wären: Log Parser. ;)) Gruß, Nils Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 7. Januar 2010 Melden Teilen Geschrieben 7. Januar 2010 Sofern denn keiner mal die Richtlinie deaktiviert hat. ;) Wie immer also. ;) Zitieren Link zu diesem Kommentar
Murf 10 Geschrieben 7. Januar 2010 Autor Melden Teilen Geschrieben 7. Januar 2010 danke für euer Vorschläge! Leider ist als Besiter bei den meisten "Domänen-Admins" gelistet...Und Log-Parser? Das haben meine Kollegen, die für die DCs zuständig sind noch nie gehört :D Wenn Log voll, dann voll :cool: Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 7. Januar 2010 Melden Teilen Geschrieben 7. Januar 2010 Voraussetzung ist aber, dass die Objekte nicht von einem Mitglied der Administratoren-Gruppe erzeugt wurden, denn in dem Fall wäre immer die Administratoren-Gruppe der Besitzer. Kann man per GPO aber anpassen soweit ich mich erinnere. Hilft aber im Nachhinein auch nichts, und kann durchaus "Nebeneffekte" bringen. Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 8. Januar 2010 Melden Teilen Geschrieben 8. Januar 2010 Moin, Und Log-Parser? Das haben meine Kollegen, die für die DCs zuständig sind noch nie gehört :D dann nimm sie mal beiseite und erklär ihnen das Konzept einer Suchmaschine. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.