Logging für Active Directory Änderungen

28/11/2007 - 11:03 von Thomas Gorjup | Report spam
Hallo NG,

wir haben die Auflage erhalten, dass alle Änderungen im Active Directory
geloggt werden müssen.
Also wenn ein Administrator einen Account anlegt, ein Password resettet,
etc.

Wo und wie kann ich das einstellen?
Bringt Windows das per default mit oder ist ein Zusatztool dafür
erforderlich.

Danke schonmal.

Gruß
Thomas
 

Lesen sie die antworten

#1 Yusuf Dikmenoglu [MVP]
28/11/2007 - 11:22 | Warnen spam
Servus,

"Thomas Gorjup" wrote:
wir haben die Auflage erhalten, dass alle Änderungen im Active Directory
geloggt werden müssen.
Also wenn ein Administrator einen Account anlegt, ein Password resettet,
etc.



das hatten wir gerade vor ein paar Tagen hier in der NG.

Du kannst im ersten Schritt, die folgende Richtlinie in der
Default Domain Controllers Richtlinie zu aktivieren:

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale
Richtlinien\
Überwachungsrichtlinie\<Verzeichnisdienstzugriff überwachen>.

Im zweiten schritt muss die Überwachung in der SACL des zu
überwachenden Objekts, mit den gewünschten Optionen
aktiviert werden.

Die Informationen werden dann im Sicherheitsprotokoll der DCs aufgezeichnet.
Ob das aber deinen Ansprüchen genügt, musst du selber herausfinden.
Evtl. solltest du dir Dritt-Anbieter Tools ins Auge fassen.

Das Thema Protokollierung wurde erst im Windows Server 2008 verfeinert.

[Yusuf`s Directory - Blog - Active Directory Domain Services (AD DS) -
Protokollierung
http://blog.dikmenoglu.de/PermaLink...f59cd.aspx

Aber Vorsicht: Eine Protokollierung ist vom Betriebsrat zu genehmigen!

Regards from Rhein-Main/Germany
Yusuf Dikmenoglu - MVP Windows Server
Blog: http://blog.dikmenoglu.de

Ähnliche fragen