Protokollierung von GPO-Änderungen

[daffy 10]

Hallo,

 

wir haben W2K3 DCs im Einsatz und es soll eine Protokollierung von Änderungen an GPOs stattfinden.

 

Ich habe die Überwachungsrichtlinien in der Struktur "Domäne/<Domänenname>/Domänencontroller" wie folgt eingestellt:

 

Richtlinie= Einstellung

Anmeldeereignisse überwachen= Erfolgreich, Fehlgeschlagen

Anmeldeversuche überwachen= Erfolgreich, Fehlgeschlagen

Kontenverwaltung überwachen= Erfolgreich, Fehlgeschlagen

Objektzugriffsversuche überwachen= Erfolgreich, Fehlgeschlagen

Prozessverfolgung überwachen= Erfolgreich, Fehlgeschlagen

Rechteverwendung überwachen= Erfolgreich, Fehlgeschlagen

Richtlinienänderungen überwachen= Erfolgreich, Fehlgeschlagen

Systemereignisse überwachen= Erfolgreich, Fehlgeschlagen

Verzeichnisdienstzugriff= überwachen Erfolgreich, Fehlgeschlagen

 

also eigentlich alles eingeschaltet.

Meines Wissens müsste bei einer GPO-Änderung der Security-Event 643 im Ereignisprotokoll kommen. Es passiert leider nix.

 

Wer hat ne Idee?

 

Danke und Gruß

daffy

[olc 18]

Hi,

 

Du mußt noch auf dem AD Container "CN=Policies,CN=SYSTEM,DC=domain,DC=tld" die Einstellung vornehmen, daß überwacht werden soll. D.h. die ACL (genauer: SACL) anpassen.

 

Siehe dazu auch: HOW TO: Audit Active Directory Objects in Windows Server 2003 .

 

BTW: Richtig viel Freude hast Du mit dieser Art der "Gießkannenüberwachung" sicher nicht. Wenn Du es "richtig" machen möchtest, schau Dir einmal Zusatzprogramme wie den Quests GPOAdmin oder Microsofts AGPM an.

 

Viele Grüße

olc

[dmetzger 10]

Monitoring Group Policy Changes with Windows Auditing - Windows Security Logging and Other Esoterica - Site Home - MSDN Blogs

 

Das von olc erwähnte Advanced Group Policy Management ist das Werkzeug meiner Wahl:

 

AGPM Part 1: Introduction to Advanced Group Policy Management (a.k.a AGPM) v4

Schrittweise Anleitung für Microsoft Advanced Group Policy Management 4.0

Betriebshandbuch für Microsoft Advanced Group Policy Management 4.0