Protokollierung von Gruppenmitgliedern

[ErhardRainer 10]

Hallo Fachleute,

 

ich suche nach einer Möglichkeit ausgewählte Security Gruppen im AD hinsichtlich ihrer Mitglieder zu protokollieren. Ziel ist es im nachhinein sagen zu können, wer in welcher Gruppe Mitglied war/ist. Mir sind zwar einige Protokollierungsmöglichkeiten mittels Gruppenrichtlinien bekannt, aber keine Möglichkeit schnell diese auszuwerten, seit wann jemand Mitglied in der Gruppe ist bzw. beispielsweise zu sagen: Zeige mir alle Mitglieder der Gruppe "XY" vom 24.07.2010. Daher kam mir grundsätzlich in den Sinn die Gruppen beispielsweise 3 mal täglich auszulesen und in eine Datenbank zu schreiben, dann könnte man mittels SQL solche Dinge abfragen.

 

Oder kennt wer vielleicht schon fertige Tools, die für diesen Zweck vorgesehen sind.

 

Danke im voraus.

[killtux 11]

kann dir nur zu Zweiterem etwas geben. unscramble your brain - get in flow with oneStep2 solutions!, die Appliance die dort verkauft wird kann so was.

[killtux 11]

da fällt mir noch ein Tool ein "DocuSnap" da kannst du ja aufzeichnungen vom Datum XY starten. Auch über das AD. Somit könntest du auch nachschauen, vorausgesetzt du startest diesen Snap zB. einmal die Woche. Aber kommt jetzt auf die AD Größe an ob das Sinn macht...

[carnivore 10]

Hallo,

 

wir setzen dazu Intrust von Quest ein. Mehr Details kann ich dir leider nicht sagen, da das nicht mein Bereich ist.

 

carnivore

[NilsK 2.930]

Moin,

 

in deinem Szenario wäre vermutlich die Überwachung administrativer Zugriffe auf die Gruppen der sinnvollere Weg. Dann siehst du nicht nur, dass sich etwas geändert hat, sondern auch, welches Userkonto die Änderung ausgeführt hat.

 

Technisch realisierst du das über die AD-Berechtigungen der Gruppen (SACL) und die Konfiguration der AD-Überwachung in der DefDomConPol.

 

Vorsicht, das kann juristische Implikationen haben, also ggf. mit dem Betriebsrat und/oder einem Juristen abstimmen.

 

Gruß, Nils