Дохваћање листе АД рачуна креираних у последња 24 сата

Одељење за информациону безбедност поставило је задатак да развије најједноставнији систем ревизије, а то је да учитава статистику на Ацтиве Дирецтори налоге креиране у последња 24 сата, као и информације о томе ко је креирао ове налоге у домену.

Садржај:

  • Поверсхелл скрипта за добијање листе недавно креираних корисника у Ацтиве Дирецтори-у
  • Како сазнати ко је отворио налог у Ацтиве Дирецтори-у

Поверсхелл скрипта за добијање листе недавно креираних корисника у Ацтиве Дирецтори-у

За листу корисника креираних у Ацтиве Дирецтори-у у последња 24 сата, најлакши је начин да користите ПоверСхелл цмдлет Гет адусер.  Излаз цмдлет-а ће бити филтриран по корисничком атрибуту када се креира, који чува датум и време креирања налога. Добијам тако једноставан ПоверСхелл скрипту:

$ ластдаи = ((Датум-датум) .Додај (-1))
$ филенаме = Гет-Дате -Формат ииии.ММ.дд
$ екпортцсв = "ц: \ пс \ нев_ад_усерс_" + $ филенаме + ".цсв"
Гет-АДУсер -филтер (када је креиран -ге $ ластдаи) | Екпорт-цсв -патх $ екпортцсв

У овом примеру, листа АД налога се чува у датотеци са тренутним датумом као именом. Помоћу планера можете конфигурирати свакодневно покретање ове скрипте, због чега ће се датотеке у којима се налазе подаци о датуму креирања одређеног налога бити акумулиране у наведеном директорију. У извештај можете додати било које друге корисничке атрибуте из Ацтиве Дирецтори-а (погледајте чланак о коришћењу Гет-АДУсер-а).

Како сазнати ко је отворио налог у Ацтиве Дирецтори-у

Поред чињенице да се ствара налог, заштитари ће се можда интересовати за информације о имену одређеног корисника који је креирао одређени налог у Ацтиве Дирецтори-у. Ове информације се могу добити из сигурносних евиденција контролера домена Ацтиве Дирецтори..

Када уносите новог корисника у безбедносни дневник контролера домена (само то ДЦ на коме је налог отворен) појављује се догађај са кодом ЕвенИд 4720 (ДЦ мора имати омогућено правило управљања рачуном за ревизију у подразумеваној политици контролера домена).

Опис овог догађаја садржи линију Направљен је кориснички налог, а затим налог из кога је креиран нови кориснички рачун АД (истакнуто на слици испод).

Скрипта за преузимање свих догађаја креирања налога из дневника контролера домена у последња 24 сата може изгледати овако:

$ тиме = (датум добијања) - (ново време - час 24)
$ филенаме = Гет-Дате -Формат ииии.ММ.дд
$ екпортцсв = "ц: \ пс \ ад_усерс_цреаторс" + име датотеке + $ .цсв "
Гет-ВинЕвент -ФилтерХасхтабле @ ЛогНаме = "Сигурност"; ИД = 4720; СтартТиме = $ Тиме | Фореацх
$ евент = [кмл] $ _. ТоКсмл ()
иф ($ догађај)

$ Тиме = Датум добијања $ _. ТимеЦреате -УФормат "% И-% м-% д% Х:% М:% С"
$ ЦреаторУсер = $ евент.Евент.ЕвентДата.Дата [4]. "# Текст"
$ НевУсер = $ евент.Евент.ЕвентДата.Дата [0]. "# Текст"
$ дц = $ евент.Евент.Систем.цомпутер
$ дц + "|" + $ Време + „|“ + $ НевУсер + "|" + $ ЦреаторУсер | датотеку $ екпортцсв -приложити

Аналогно чланку "Једноставни систем ревизије брисања датотека и мапа за Виндовс Сервер", можете конфигурирати информације о догађајима за које се установи да нису текстуална датотека на сваком ДЦ-у, већ преко МиСКЛ .НЕТ Цоннецтор за ПоверСхелл једну МиСКЛ базу података.