Мониторинг изменений в AD

monkkey · Отправлено: **14:05, 22-09-2009** | #2

Стандартные политики аудита - Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy
К примеру, Audit directory service access

Ivan Bardeen · Отправлено: **14:08, 22-09-2009** | #3

Включить аудит audit account management в default domain controller policy
В результате в security log на контроллерах домена будут появляться следующие события:
http://technet.microsoft.com/ru-ru/l...42(WS.10).aspx

PsyDuck · Конфигурация компьютера

Спасибо.

sea707 · Отправлено: **06:59, 16-11-2015** | #5

Ещё вопросик, создал в планировщике заданий - уведомления на электронную почту.
Возможно ли в тексте уведомления использовать переменные из лога события для получения более подробной информации - кем и что создано? Или вложить лог файл к письму?
Файл можно прикрепить, но мне нужен только текущий лог события.

Кстати, вот некоторые полезные идентификаторы событий для Windows Server 2008R2:

ID=4741 Создание компьютера в домене
ID=4743 Удаление компьютера из домена
ID=4728 Доббавление в группу безопасности
ID=4729 Удаление из группы безопасности
ID=4720 Создание пользователя
ID=4726 Удаление пользователя
ID=4740 Блокировка учетной записи
ID=4767 Разблокировка учетной записи
ID= 4722 Включение учетной записи
ID=4725 Отключение учетной записи

snark · Конфигурация компьютера

sea707, я создаю в планировщике контроллера задание, например, на создание пользователя (User Account Created), триггер — по событию 4720, журнал Security, действие — запуск скрипта Powershell:

Код:

$Subject = "A user account was created" 
$Theme = "A user account was created:" 
$Server = "smtp.office365.com" 
$From = "test@firma.ru"
$To = "admin@firma.ru"
$encoding = [System.Text.Encoding]::UTF8
$secpasswd = ConvertTo-SecureString "Str0Ng_P@ssw0rD" -AsPlainText -Force
$mycreds = New-Object System.Management.Automation.PSCredential ($From, $secpasswd)

$Body = Get-WinEvent -maxevents 1 -FilterHashtable @{LogName = "Security";ID = 4720;StartTime = (Get-Date).AddSeconds(-60)} | Select TimeCreated,`
@{n = "Account name";e = {([xml]$_.ToXml()).Event.EventData.Data | ?{$_.Name -eq "TargetUserName"} | %{$_.'#text'}}}, `
@{n="Display name";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "DisplayName"}| %{$_.'#text'}}}, `
@{n="UPN name";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "UserPrincipalName"}| %{$_.'#text'}}}, `
@{n="Created by";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "SubjectUserName"}| %{$_.'#text'}}}, `
@{n="DC";e={([xml]$_.ToXml()).Event.System.Computer}}

$body = $body -replace "@{" -replace "}" -replace "=", ": " -replace ";","`n" -replace "TimeCreated","Time Created" -replace "^","`n" 
$BodyM = $Body

Send-MailMessage -From $From -To $To -SmtpServer $server -Body "$Theme `n$BodyM" -Subject $Subject -Encoding $encoding -Port "587" -Credential $mycreds -UseSsl

У нас на работе почтовик на Office365, но я думаю, что не составит труда подставить свои данные.