組織内のサーバーの 1 つがセキュリティ グループに追加された時期を確認する必要があります。つまり、どの日付か、または可能であれば誰が追加したかを確認できますか? 確認できるパワーシェルコマンドはありますか。
1566 次
1 に答える
1
必要な情報を取得するには、まず必要な AD の変更を監査する必要があります。Google で「Active Directory 監査セキュリティ グループ」を検索してみるか、最初の結果にアクセスしてください: Active Directory でのグループ メンバーシップの変更の監査。
有効にすると、アカウントへの変更が監査され、ドメイン コントローラーのセキュリティ ログに記録されます。これで、PowerShell を使用して簡単に検索できます。元。グループがグローバル セキュリティ グループの場合、追加されたメンバーのイベント ID は です632。グループ「FOO」を検索するには、次を使用します。
Get-EventLog -LogName Security -InstanceId 632 -Message "*FOO*"
これには (atm で検証するためのテスト ラボはありません)、誰が変更を行ったか、誰がどのグループ (FOO) に追加されたか、いつ変更が行われたかが含まれている必要があります。イベントは、リクエストが送信されたドメイン コントローラー (!) にのみ表示されます。
複数のドメイン コントローラーがある場合 (当然のことですが)、イベント サブスクリプションを使用して、イベントを中央サーバーまたはワークステーションに収集する必要があります。WMI サブスクリプションを使用して、そのような新しいイベントが発生するたびにスクリプトを実行することもできます。ここSOまたはGoogleで簡単に検索すると、その方法が表示されます。
編集私に反対票を投じた人が後でこれを読んだ場合は、その理由をコメントに残していただけますか. フィードバックが得られない場合、改善するのは困難です。回答には、必要なPowerShellコマンドを含む説明と解決策が含まれているため、何を間違えたのかわかりません。
于 2013-04-06T10:09:48.207 に答える