Protokollierung Änderung an Objekten

[olifant77 10]

Hallo,

 

kann ich irgendwie herausfinden, wer ein Objekt verändert hat, wie zB User in eine Gruppe hinzufügen?

Via ADSI-Edit sehe ich ja zB, wann das Objekt zuletzt verändert wurde. Mich würde aber auch interessieren, wer an einem Objekt Änderungen durchgeführt hat.

 

Danke schonmal

Oli

[IThome 10]

Das kannst Du mit der Überwachung machen, dann kommt da sowas bei raus ...

 

Ereignistyp: Erfolgsüberw.

Ereignisquelle: Security

Ereigniskategorie: Kontenverwaltung

Ereigniskennung: 632

Datum: 21.12.2005

Zeit: 11:34:21

Benutzer: CONTOSO\administrator

Computer: S1

Beschreibung:

Hinzugefügtes globales Gruppenmitglied mit aktivierter Sicherheit:

Mitgliedname: CN=Besitz,CN=Users,DC=contoso,DC=com

Mitgliedkennung: CONTOSO\Besitz

Zielkontoname: Domänen-Admins

Zieldomäne: CONTOSO

Zielkontokennung: CONTOSO\Domänen-Admins

Aufruferbenutzername: administrator

Aufruferdomäne: CONTOSO

Aufruferanmeldekennung: (0x0,0x1773E)

Rechte: -

 

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

 

 

Der Gruppe Domänen-Admins wurde der Benutzer CONTOSO\Besitz durch den Benutzer Administrator zugefügt

[olifant77 10]

ok. Danke, das ist ein guter Hinweis.

Das heißt aber ja für eine AD-Struktur mit ca. 20 Standorten und auch 20 Domaincontrollern, dass ich sowas immer nur dann im Log des entsprechenden DCs sehe, wo es geändert wurde. Richtig?

 

Oli

[IThome 10]

Es wird da protokolliert, wo es durchgeführt wird, also hast Du recht, aber wenn Du eine angepasste MMC-Konsole hast, kannste ja wenigstens alle auf einmal sehen und da auch die ID bekannt ist ...

[phoenixcp 10]

Aber dabei beachten: Deine Sicherheitslogs werden enorm voll laufen. Das heißt zum einen: maximale Loggröße massiv nach oben schrauben, damit du überhaupt noch was von dem siehst, was du sehen willst, eh es wieder überschrieben wird und zum andren solltest du dir darüber im Klaren sein, das du damit die Performance deiner DC's etwas einschränkst, wenn die jeden Objektzugriff protokollieren müssen.

[IThome 10]

Aber dabei beachten: Deine Sicherheitslogs werden enorm voll laufen. Das heißt zum einen: maximale Loggröße massiv nach oben schrauben, damit du überhaupt noch was von dem siehst, was du sehen willst, eh es wieder überschrieben wird und zum andren solltest du dir darüber im Klaren sein, das du damit die Performance deiner DC's etwas einschränkst, wenn die jeden Objektzugriff protokollieren müssen.

 

Da hast Du recht, hab ich vergessen ... :rolleyes:

Allerdings glaube ich, dass bei der Überwachung der Kontenverwaltung (Erfolgreich) nicht allzu viele zusätzliche Einträge generiert werden, da nur eine sehr begrenzte Anzahl überhaupt in der Lage ist, diese Aktionen überhaupt durchzuführen (was aber nicht heisst, dass man nicht doch vergrössern muss) :)

[phoenixcp 10]

Bei 20 Standorten und 20 DC's kommt da schon einiges zusammen, bei jeder Replikation zum Beispiel. :)

[IThome 10]

Irgendwie scheine ich im Moment vernagelt zu sein :D . Ich definiere die Überwachung der Kontenverwaltung (Erfolgreich) in den Domänencontroller OUs der 20 Standorte. Dann ändere ich die Gruppenmitgliedschaft oder erstelle User oder Gruppen. Diese Events werden in der Ereignisanzeige des DCs geloggt, auf dem ich die Aktion durchführe. Ich sehe im Moment keinen Zusammenhang zwischen dem Loggen dieser Ereignisse und der Replikation

[phoenixcp 10]

Naja, du änderst die Gruppenmitgliedschaft auf EINEM DC der Domäne. Wie erfahren die andren DC's davon? Richtig, über die Replikation. Damit wäre das dann bei denen ein Objektzugriff.... Oder bin ich da falsch abgebogen?

[IThome 10]

Ja klar, wenn der Objektzugriff auch protokolliert wird ... Ich bin jetzt nur darauf eingegangen, dass die Kontenverwaltung protokolliert wird (sauber aneinander vorbei geredet :D )