Konfiguration des Dienstkontos

Überblick

ADAudit Plus beginnt sofort mit der Überwachung von Aktivitäten, nachdem die Anmeldeinformationen für den Domänenadministrator bereitgestellt wurden. Wenn Sie keine Anmeldeinformationen für den Domänenadministrator bereitstellen möchten, befolgen Sie die in diesem Leitfaden beschriebenen Schritte, um das Dienstkonto so einzurichten, dass es nur die geringsten erforderlichen Berechtigungen für die Überwachung Ihrer Umgebung hat.

Hinweis: Wenn Sie mehrere Domänen in ADAudit Plus konfigurieren möchten, empfehlen wir die Erstellung separater Dienstkonten für jede einzelne Domäne.

Erstellung neuer Benutzer, Gruppen und GPOs

Neuen Benutzer erstellen

• Melden Sie sich mit Domänenadministratorrechten an Ihrem Domänencontroller an → Öffnen Sie Active Directory-Benutzer und -Computer → Klicken Sie mit der rechten Maustaste auf Ihre Domäne → Neu → Benutzer → Benennen Sie den Benutzer als "ADAudit Plus".

Neue Gruppe erstellen

• Melden Sie sich mit Domänenadministratorrechten an Ihrem Domänencontroller an → Öffnen Sie Active Directory-Benutzer und -Computer → Klicken Sie mit der rechten Maustaste auf Ihre Domäne → Neu → Gruppe → Benennen Sie die Gruppe als "ADAudit Plus Berechtigungsgruppe".
• Fügen Sie alle überwachten Computer als Mitglieder der "ADAudit Plus Berechtigungsgruppe" hinzu: Klicken Sie mit der rechten Maustaste auf die "ADAudit Plus Berechtigungsgruppe" → Eigenschaften → Mitglieder → Fügen Sie alle Domänencontroller, Windows-Server und Arbeitsstationen hinzu, die Sie überwachen möchten.

Erstellen Sie eine neue GPO auf Domänenebene und verknüpfen Sie sie mit allen überwachten Computern

Da die Konfiguration von Berechtigungen auf einzelnen Computern ein aufwendiger Prozess ist, wird eine GPO auf Domänenebene erstellt und auf alle überwachten Computer angewendet.

• MIt Domänenadministratorrechten an Ihrem Domänencontroller anmelden.
• Erstellen Sie eine neue GPO auf Domänenebene:

öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole → Klicken Sie mit der rechten Maustaste auf Ihre Domäne → Erstellen Sie eine GPO in dieser Domäne und verknüpfen Sie sie hier → Benennen Sie die GPO als "ADAudit Plus Berechtigungs-GPO"

• Entfernen Sie die Berechtigung zur Anwendung der Gruppenrichtlinie für die Gruppe Authentifizierte Benutzer:

Klicken Sie auf die "ADAudit Plus Berechtigungs-GPO" → Navigieren Sie zum rechten Bereich, klicken Sie auf die Registerkarte Delegierung → Erweitert → Klicken Sie auf Authentifizierte Benutzer → Entfernen Sie die Berechtigung zur Anwendung der Gruppenrichtlinie.

• Fügen Sie die "ADAudit Plus Berechtigungsgruppe" zu den Sicherheitseinstellungen der "ADAudit Plus Berechtigungs-GPO" hinzu:

Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole → Domäne → Wählen Sie die "ADAudit Plus Berechtigungs-GPO" aus → Navigieren Sie zum rechten Bereich, klicken Sie auf die Registerkarte Delegierung → Erweitert → Fügen Sie die "ADAudit Plus Berechtigungsgruppe" hinzu → Überprüfen Sie die Anwendung der Gruppenrichtlinie.

Berechtigungen/Berechtigungen erforderlich für die Ereignisprotokollsammlung

Gewähren Sie dem Benutzer das Recht zur Verwaltung von Überwachungs- und Sicherheitsprotokollen

Das Recht zur Verwaltung von Überwachungs- und Sicherheitsprotokollen ermöglicht es dem Benutzer, die objektbezogene Überwachung zu definieren.

• Melden Sie sich mit Domänenadministratorrechten an Ihrem Domänencontroller an→ Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole → Klicken Sie mit der rechten Maustaste auf die "ADAudit Plus Berechtigungs-GPO" → Bearbeiten.
• Im Gruppenrichtlinien-Management-Editor → Computerverwaltung → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Zuweisung von Benutzerrechten.
• Navigieren Sie zum rechten Bereich, klicken Sie mit der rechten Maustaste auf Verwaltung von Überwachungs- und Sicherheitsprotokollen → Eigenschaften →Fügen Sie den Benutzer "ADAudit Plus" hinzu.

2. Machen Sie den Benutzer zu einem Mitglied der Gruppe Ereignisprotokollleser

Mitglieder der Gruppe der Ereignisprotokollleser können die Ereignisprotokolle aller auditierten Computer lesen.

• Für Domänencontroller:

Melden Sie sich mit Domain-Admin-Rechten an Ihrem Domänencontroller an → Öffnen Sie Active Directory-Benutzer und -Computer → Builtin-Container → Navigieren Sie zum rechten Panel, klicken Sie mit der rechten Maustaste auf Ereignisprotokollleser → Eigenschaften → Mitglieder → Fügen Sie den Benutzer "ADAudit Plus" hinzu.



• Für andere Computer (Windows-Server und -Arbeitsstationen):

a.Melden Sie sich mit Domain-Admin-Rechten an Ihrem Domänencontroller an → Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole → Klicken Sie mit der rechten Maustaste auf die "ADAudit Plus Berechtigungs-GPO" → Bearbeiten.

b. Im Gruppenrichtlinien-Editor → Computerkonfiguration → Präferenzen → Systemsteuerungseinstellungen → Klicken Sie mit der rechten Maustaste auf Lokale Benutzer und Gruppen → Neu → Lokale Gruppe → Wählen Sie die Gruppe Ereignisprotokollleser unter Gruppenname aus → Fügen Sie den Benutzer "ADAudit Plus" hinzu.

• Melden Sie sich mit Domain-Admin-Rechten an Ihrem Domänencontroller an → Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole → Klicken Sie mit der rechten Maustaste auf die "ADAudit Plus Berechtigungs-GPO" → Bearbeiten.
• Im Gruppenrichtlinien-Editor → Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Klicken Sie mit der rechten Maustaste auf die Registry → Schlüssel hinzufügen.
• Im Fenster "Registrierungsbaum auswählen" navigieren Sie zu MASCHINE → SYSTEM → CurrentControlSet → Dienste → EventLog → Sicherheit → Klicken Sie auf OK → Gewähren Sie Leseberechtigung für den Benutzer "ADAudit Plus" → Klicken Sie auf Übernehmen.
• Im Fenster "Objekt hinzufügen" wählen Sie Diese Schlüssel konfigurieren dann → Vorhandene Berechtigungen für alle Unterkeys durch vererbbare Berechtigungen ersetzen → Klicken Sie auf OK.

Befugnisse/Berechtigungen, die für die Konfiguration der automatischen Überwachungsrichtlinie und der objektbezogenen Überwachung erforderlich sind

Befugnisse/Berechtigungen, die für die Konfiguration der Überwachung des Domänencontrollers erforderlich sind

Das Gewähren der folgenden Berechtigungen/Befugnisse an das Dienstkonto ermöglicht es ADAudit Plus, die erforderliche Überwachungsrichtlinie und die Einstellungen für die objektbezogene Überwachung in Ihrer Umgebung automatisch zu konfigurieren. ADAudit Plus macht dies, indem die erforderlichen Einstellungen über GPO an die Gruppe, die alle überwachten Computer enthält, übermittelt werden.

• Melden Sie sich mit Domain-Admin-Rechten an Ihrem Domänencontroller an → Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole → Klicken Sie auf die Standardrichtlinie für Domänencontroller → Navigieren Sie zum rechten Panel, klicken Sie auf die Registerkarte Delegation → Fügen Sie den ADAudit Plus-Benutzer hinzu → Gewähren Sie Berechtigung zum Bearbeiten von Einstellungen.

  

Privilegien/Berechtigungen, die für die Konfiguration der Mitgliederserver-, Arbeitsstation- und Dateiserver-Audits erforderlich sind

Fügen Sie den Benutzer der Gruppe der Gruppenrichtlinienerstellungsbesitzer hinzu

• Melden Sie sich mit Domain-Admin-Rechten an Ihrem Domänencontroller an → Öffnen Sie Active Directory-Benutzer und -Computer → Klicken Sie auf Benutzer → Navigieren Sie zum rechten Bereich, klicken Sie mit der rechten Maustaste auf die Gruppe der Gruppenrichtlinienerstellungsbesitzer → Fügen Sie den "ADAudit Plus"-Benutzer als Mitglied hinzu.

  

Gewähren Sie dem Benutzer Verwaltungsberechtigungen für Gruppen

• Melden Sie sich mit Domain-Admin-Rechten an Ihrem Domänencontroller an → Öffnen Sie Active Directory-Benutzer und -Computer.

  Klicken Sie auf Ansicht und stellen Sie sicher, dass Erweiterte Funktionen aktiviert sind. Dadurch werden die erweiterten Sicherheitseinstellungen für ausgewählte Objekte in Active Directory-Benutzern und -Computern angezeigt.

• Klicken Sie mit der rechten Maustaste auf Benutzer → Eigenschaften → Sicherheit → Erweitert → Berechtigungen → Hinzufügen → Im Fenster Berechtigungseintrag für Benutzer, Wählen Sie ein Hauptobjekt: ADAudit Plus Benutzer → Typ: Zulassen → Gilt für: Dieses Objekt und alle untergeordneten Objekte → Wählen Sie Berechtigungen aus: Erstellen von Gruppenobjekten und Löschen von Gruppenobjekten.

  Hinweis: Verwenden Sie Alle löschen, um alle Berechtigungen und Eigenschaften zu entfernen, bevor Sie die genannten Berechtigungen auswählen.

  

• Aus der Konsole Active Directory-Benutzer und -Computer → Klicken Sie mit der rechten Maustaste auf Benutzer → Eigenschaften → Sicherheit → Erweitert → Berechtigungen → Hinzufügen → Im Fenster Berechtigungseintrag für Benutzer → Wählen Sie ein Hauptobjekt: ADAudit Plus Benutzer → Typ: Zulassen → Gilt für: Untergeordnete Gruppenobjekte → Wählen Sie die Eigenschaft: Mitglieder schreiben.

Hinweis: Verwenden Sie Alle löschen, um alle Berechtigungen und Eigenschaften zu entfernen, bevor Sie die genannte Eigenschaft auswählen.