Light 12 Geschrieben 30. Januar 2015 Melden Teilen Geschrieben 30. Januar 2015 Guten Morgen liebe Leute, gibt es eine Möglichkeit, abzufragen, seit wann ein Benutzer Mitglied einer AD Gruppe ist? Vielen Dank Light Zitieren Link zu diesem Kommentar
Lian 2.421 Geschrieben 30. Januar 2015 Melden Teilen Geschrieben 30. Januar 2015 Hallo, ohne Audit: Nicht, dass ich wüsste. Du siehst ein Änderungsdatum am AD Objekt, allerdings kann eine Gruppenmitgliedschaft auf der Gruppe oder am Konto gesetzt werden. Grüße, Zitieren Link zu diesem Kommentar
Light 12 Geschrieben 30. Januar 2015 Autor Melden Teilen Geschrieben 30. Januar 2015 Ok schade aber trotzdem Danke! Schönes Wochenende Light Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 31. Januar 2015 Melden Teilen Geschrieben 31. Januar 2015 Lian, kleine Korrektur: Mitgliedschaften sind ein Attribut der Gruppen, nicht der User. Beim User ist es ein constructed attribute... Light: Du kannst Dir zwar mit repadmin /showobjmeta die Änderungszeitpunkte aller Gruppen-Attribute anzeigen lassen. Aber da siehst Du leider nur, wann "members" das letzte Mal aktualisiert wurde und nicht, welcher User da hinzugefügt oder entfernt wurde. Wenn Du kein Auditing auf Account Management hast ("Member added" bzw. "Member removed"), dann geht es nicht. Zitieren Link zu diesem Kommentar
Marcin_K 1 Geschrieben 2. Februar 2015 Melden Teilen Geschrieben 2. Februar 2015 Die gute Idee ist eine Software einzurichten, die Windows-Ereignisprotokolle von Domänencontrollern sammelt, bearbeitet und die wichtigsten Informationen aus ihnen im günstigen Form einträgt. Dann kannst du auch historische Daten erhalten, wenn du (z. B.) feststellen musst, wer und wann eine bestimmte Person zu einer Gruppe hinzugefügt hat (und auf diese Weise diese Person einen Zugriff zu einer Stelle im Netwzerk bekommen hat). Wir benutzen die Software "Events Manager" von GFI - sie ist ganz von Nutzen und ich kann sie wirklich empfehlen. Grüße Marcin Zitieren Link zu diesem Kommentar
Lian 2.421 Geschrieben 2. Februar 2015 Melden Teilen Geschrieben 2. Februar 2015 Lian, kleine Korrektur: Mitgliedschaften sind ein Attribut der Gruppen, nicht der User. Beim User ist es ein constructed attribute... Das ist klar, es handelt sich ja sozusagen um forward und backward links. Ich sprach lediglich von den zwei Wegen, wie ein Mitglied in eine Gruppe verfrachtet werden kann: In der Annahme, dass je nach Weg das Änderungsdatum an dem einen oder anderen Objekt sichtbar wird. Habe es aber nicht getestet - unabhängig davon war der Tipp auf das Änderungsdatum, dass aber nur sehr unscharf ist und eher zufällig passen könnte. Beim Thema Auditing sollte man das rechtliche vorher klären und die Datenmengen bedenken, dazu bedarf es in der Regel ein Tool und "manpower". Zitieren Link zu diesem Kommentar
Marcin_K 1 Geschrieben 2. Februar 2015 Melden Teilen Geschrieben 2. Februar 2015 Hallo Lian Ich stimme dir völlig zu, aber "Events Manager" ist genau eine solche Software, die das alles ermöglicht. Du kannst die Regeln festlegen, die gesammelte Protokolle einschränken, so dass du nur die bestimmten Ereignissen einträgt. Zum Beispiel sammelst du nur die Aktivität, die mit der Verwaltung den Domänengruppen verbunden ist. Natürlich will ich für diese Software keine unnötige Werbung machen, wahrscheinlich gibt es auch die anderen auf dem Markt, aber es ist sehr nützlich, wenn man über seiner Umgebung besser herrschen will. Grüße Marcin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.