酷徒LOGO

用户和所有附加的服务/软件的Active Directory审计


问题:

我有一个用户我需要审核。 这个单一的用户被一系列的服务/软件使用来运行。 我的工作是找到与这里用户绑定的所有内容,然后在activedirectory中创建新用户名,以便禁用一个用户。

我有几个服务器,我需要对特定用户进行这里检查。 我不太确定在哪里或者如何开始这样的工作- 我的大多数搜索都不是很有帮助。

1.) 需要审计所有服务器以了解用户的使用情况。

2.) 需要了解使用帐户运行的每个 service/software/backup/thing。

我是新的,但看起来我要如何使用 PowerShell - 我没有看到任何审计类型工具在服务器上。

感谢你提供的任何帮助。

顺致问候。


回答 1:

You powershell powershell audit audit audit audit,然后You脚本script循环loop服务器的列表,并导出所有已经调度任务,如在这里显示的 我建议你记录一切,而不仅仅是那个特定用户,在你离开的事件中将更容易。


回答 2:

在( 互动。网络等) 上捕获帐户的事件 4624和登录类型的至少应该帮助缩小计划任务或者登录的位置。 那么你需要对每一台电脑进行分析。

If Splunk工具,可以从所有DCs中删除特定日志事件到收集器服务器,因此你可以使用事件日志收集器服务来设置特定日志事件的订阅。

有第三方 Windows sysloggers可以做类似的事情。

要针对特定帐户登录事件,可以使用这里XPath筛选器:


 <QueryList>


 <Query Id="0" Path="Security">


 <Select Path="Security">


 *[System[(EventID='4624')]


 and


 EventData[Data[@Name='TargetUserName']='My_BadAcct']] 


 </Select>


 </Query>


 </QueryList>



a,方法可以能是在每个DC的任务调度器中执行 事件查看器 任务,使用上面的事件筛选器将一个cruder脚本发送到文本。 这里有一个简单的示例 ( 最后一项) 如何捕获事件细节,并将它们作为变量传递给脚本。

在过程注释中,如果你认为已经使用了帐户的所有位置,但是最简单的问题就是禁用帐户。 对它的调用将很快解决谁需要它。 ( 称为"尖叫测试")。

在你仍然获得"神秘"登录的情况下,没有人快速获得联系,最好是保留一年的end-of-year财务报告。 如果你在广告回收站使用标准保留时间,则为半年。






Copyright © 2011 HelpLib All rights reserved.    知识分享协议 京ICP备17041772号-2  |  如果智培  |  酷兔英语  |  帮酷