Schritte zur Aktivierung der Überwachung mit der Gruppenrichtlinien-Verwaltungskonsole (GPMC):
Führen Sie die folgenden Aktionen auf dem Domänencontroller (DC) aus:
- Drücken Sie auf Start, suchen Sie nach der Gruppenrichtlinien-Verwaltungskonsole und öffnen Sie sie oder führen Sie den Befehl gpmc.msc aus.
- Klicken Sie mit der rechten Maustaste auf die Domäne oder Organisationseinheit (OU), die Sie überwachen möchten, und klicken Sie auf Ein Gruppenrichtlinienobjekt in dieser Domäne erstellen und hier verknüpfen.
Hinweis: Wenn Sie bereits ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) erstellt haben, klicken Sie auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen.
- Benennen Sie das Gruppenrichtlinienobjekt entsprechend.
- Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt und wählen Sie Bearbeiten aus.
- Navigieren Sie im Gruppenrichtlinienverwaltungs-Editor im linken Fensterbereich zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Überwachungsrichtlinienkonfiguration → Überwachungsrichtlinien → DS-Zugriff.
- Im rechten Fensterbereich sehen Sie eine Liste der Richtlinien, die sich unter DS Access befinden. Doppelklicken Sie auf Active Directory-Dienständerungen und aktivieren Sie die Kontrollkästchen Folgende Überwachungsereignisse konfigurieren, Erfolg und Fehler.
- Klicken Sie auf Übernehmen und dann auf OK.
- Navigieren Sie zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Überwachungsrichtlinienkonfiguration → Überwachungsrichtlinien → Objektzugriff.
- Im rechten Fensterbereich sehen Sie eine Liste der Richtlinien, die sich unter Objektzugriff befinden. Doppelklicken Sie auf Dateisystem überwachen und aktivieren Sie die Kontrollkästchen Folgende Überwachungsereignisse konfigurieren, Erfolg und Fehler.
- Gehen Sie zurück zur Gruppenrichtlinien-Verwaltungskonsole und klicken Sie im linken Fensterbereich mit der rechten Maustaste auf die gewünschte Organisationseinheit, mit der das Gruppenrichtlinienobjekt verknüpft wurde, und klicken Sie auf Gruppenrichtlinienaktualisierung. Durch diesen Schritt wird sichergestellt, dass die neuen Gruppenrichtlinieneinstellungen sofort angewendet werden, anstatt auf die nächste geplante Aktualisierung zu warten.
Sobald diese Richtlinie aktiviert ist, werden Ereignisse im Sicherheitsprotokoll des DC protokolliert, wenn ein Gruppenrichtlinienobjekt geändert wird.
Schritte zur Konfiguration der Überwachung von groupPolicyContainer-Objekten mit ADSI Edit
Führen Sie die folgenden Aktionen auf dem Domänencontroller aus:
- Klicken Sie auf Start, suchen Sie nach ADSI Bearbeiten, klicken Sie mit der rechten Maustaste darauf und wählen Sie Als Administrator ausführen aus.
- Klicken Sie im linken Bereich mit der rechten Maustaste auf ADSI Bearbeiten und wählen Sie Verbinden mit aus.
- Stellen Sie im neuen Fenster sicher, dass Name auf Standard-Benennungskontext eingestellt ist und der im Pfad angegebene Domänenname die zu prüfende Domäne ist.
- Klicken Sie auf OK.
- Doppelklicken Sie auf Standard-Benennungskontext und navigieren Sie zu DC=domain,DC=com → CN=System → CN=Policies.
- Klicken Sie mit der rechten Maustaste auf CN=Policies und wählen Sie Eigenschaften aus.
- Wechseln Sie zur Registerkarte Sicherheit und klicken Sie auf die Schaltfläche Erweitert.
- Wechseln Sie zur Registerkarte Überwachung und klicken Sie auf die Schaltfläche Hinzufügen.
- Klicken Sie auf Prinzipal auswählen, suchen Sie nach Jeder und klicken Sie dann auf OK.
- Klicken Sie auf das Dropdown-Menü Typ und wählen Sie Erfolg aus. Klicken Sie auf das Dropdown-Menü Gilt für und wählen Sie Dieses Objekt und alle untergeordneten Objekte aus.
- Scrollen Sie nach unten und aktivieren Sie die Kontrollkästchen groupPolicyContainer-Objekte erstellen und groupPolicyContainer-Objekte löschen. Klicken Sie auf OK, um das Fenster Überwachungseintrag zu schließen. Klicken Sie auf OK, um das Fenster Erweiterte Sicherheitseinstellungen zu schließen. Klicken Sie auf OK, um das Fenster Eigenschaften zu schließen.
Sie haben nun die Überwachung der Erstellung und Löschung von groupPolicyContainer-Objekten aktiviert.
Schritte zur Überwachung des SYSVOL-Ordners
Alle Gruppenrichtliniendateien werden im SYSVOL-Ordner des Domänencontrollers gespeichert. Um Änderungen am GPO zu überwachen, müssen Sie diesen Ordner überwachen. Führen Sie die folgenden Aktionen auf dem Domänencontroller aus:
Hinweis: Wenn Sie keinen Zugriff auf einen DC haben, greifen Sie über die Netzwerkfreigabe auf den SYSVOL-Ordner zu.
- Öffnen Sie den Windows Explorer und navigieren Sie zu C: → Windows → SYSVOL → domain.
- Klicken Sie mit der rechten Maustaste auf den Ordner Richtlinien und wählen Sie Eigenschaften aus.
- Wechseln Sie zur Registerkarte Sicherheit und klicken Sie auf die Schaltfläche Erweitert.
- Wählen Sie die Registerkarte Überwachung aus und klicken Sie auf die Schaltfläche Hinzufügen.
- Klicken Sie auf Prinzipal auswählen, suchen Sie nach Jeder und klicken Sie auf OK.
- Klicken Sie auf die Dropdown-Liste Typ und wählen Sie Alle aus. Klicken Sie auf die Dropdown-Liste Gilt für und wählen Sie Dieser Ordner, Unterordner und Dateien aus.
- Klicken Sie auf Erweiterte Berechtigungen anzeigen und aktivieren Sie das Kontrollkästchen Vollzugriff.
- Klicken Sie auf OK.
Schritte zum Anzeigen von Gruppenrichtlinien-Änderungsereignissen mithilfe der Ereignisanzeige (Event Viewer)
Sobald die oben genannten Schritte abgeschlossen sind, werden Änderungen an einem beliebigen Gruppenrichtlinienobjekt als Ereignisse protokolliert. Dies kann in der Ereignisanzeige angezeigt werden, indem Sie die folgenden Schritte ausführen:
- Drücken Sie auf Start, suchen Sie nach Ereignisanzeige und klicken Sie darauf, um sie zu öffnen.
- Navigieren Sie im Fenster „Ereignisanzeige“ im linken Fensterbereich zu Windows-Protokolle → Sicherheit.
- Hier finden Sie eine Liste aller Sicherheitsereignisse, die im System protokolliert werden.
- Klicken Sie im rechten Fensterbereich unter Sicherheit auf Aktuelles Protokoll filtern.
- Geben Sie im Pop-up-Fenster die gewünschte Ereignis-ID* in das Feld (Alle Ereignis-IDs) ein.
Die folgenden Ereignis-IDs werden für die angegebenen Ereignisse generiert:
| Ereignis-ID |
Ereignistyp |
Beschreibung |
| 5136 |
Erfolg |
Ein Verzeichnisdienstobjekt wurde geändert. |
| 5137 |
Erfolg |
Ein Verzeichnisdienstobjekt wurde erstellt. |
| 5138 |
Erfolg |
Ein Verzeichnisdienstobjekt wurde wiederhergestellt. |
| 5139 |
Erfolg |
Ein Verzeichnisdienstobjekt wurde verschoben. |
| 5141 |
Erfolg |
Ein Verzeichnisdienstobjekt wurde gelöscht. |
- Klicken Sie auf OK. Daraufhin wird eine Liste der Vorkommen der eingegebenen Ereignis-ID angezeigt.
- Doppelklicken Sie auf eine Ereignis-ID, um ihre Eigenschaften (Beschreibung) anzuzeigen.
Das Ereignis 5137 wird protokolliert, wenn ein Gruppenrichtlinienobjekt erstellt wird. In den Ereigniseigenschaften werden unter anderem die folgenden Details protokolliert:
- Der definierte Name des geänderten Objekts.
- Die SID und der Name des Kontos, das den Vorgang angefordert hat.
- Das geänderte Objektattribut.
- Der Typ des Vorgangs, der für das Gruppenrichtlinienobjekt ausgeführt wurde, d. h., ob dem Gruppenrichtlinienobjekt ein Wert hinzugefügt oder daraus entfernt wurde.
Einschränkungen der systemeigenen Überwachung:
- Um kritische Ereignisse zu verfolgen, müsste ein Administrator nach jeder Ereignis-ID suchen und deren Eigenschaften anzeigen. Dies ist selbst für eine kleine Organisation höchst unpraktisch.
- Die durch die native Überwachung bereitgestellten Einblicke sind unzureichend. Selbst wenn der Administrator die Ereignisse verfolgt, kann er nicht erkennen, ob eine Änderung auf ein atypisches Benutzerverhalten hinweist.
- Die oben genannten Ereignisse zeigen nur den Namen des Gruppenrichtlinienobjekts an, nicht aber die alten und neuen Werte des geänderten Gruppenrichtlinienobjekts.
- Eine Änderung der Gruppenrichtlinie kann von jedem beliebigen Domänencontroller in der Domäne aus durchgeführt werden. Ein Administrator müsste die Ereignisse auf jedem einzelnen Domänencontroller überwachen, was einen übermäßigen Arbeitsaufwand darstellt. Ein zentrales Tool zur Überwachung der Ereignisse aller Domänencontroller würde den Arbeitsaufwand erheblich reduzieren.
Schritte zur Überwachung von Änderungen der Gruppenrichtlinien mit ManageEngine ADAudit Plus
- Öffnen Sie die ADAudit Plus-Konsole und melden Sie sich als Administrator an.
- Navigieren Sie zu Berichte → Active Directory → GPO-Verwaltung → Kürzlich geänderte GPOs.
Überwachen Sie die Erstellung, Löschung und Änderung von GPOs in Echtzeit mit detaillierten Berichten.
Überwachen Sie alle hinzugefügten oder entfernten Verknüpfungen zu Gruppenrichtlinienobjekten, um die erforderlichen Abhilfemaßnahmen zu ergreifen.
Zeigen Sie die Werte der geänderten GPO-Einstellungen an und analysieren Sie unerwünschte GPO-Änderungen, falls vorhanden, mit alten und neuen Werten.
Erhalten Sie E-Mail- oder SMS-Benachrichtigungen bei kritischen GPO-Änderungen und automatisieren Sie Skripte, die in solchen Fällen ausgeführt werden sollen.
Vorteile der Verwendung von ADAudit Plus gegenüber der nativen Überwachung:
- ADAudit Plus bietet detaillierte Einblicke in die Gruppenrichtlinienänderungen, die auf jedem DC in Ihrer Domäne vorgenommen wurden. Erhalten Sie umfassende Berichte über das Wer, Wann und Was von GPO-Änderungen, die in Echtzeit aktualisiert werden.
- Die unter „GPO-Einstellungsänderungen“ zusammengefassten Berichte ermöglichen es Ihnen, detailliertere, spezifische Berichte für jede Unterkategorie von GPOs anzuzeigen. Zum Beispiel Kennwortrichtlinien, Kontosperrungsrichtlinien, administrative Vorlagen, Zuweisung von Benutzerrechten usw.
- Zeigen Sie Änderungen an, die an der Zugriffssteuerungsliste (ACL) von Gruppenrichtlinien vorgenommen wurden, und zeigen Sie die alten und neuen ACL-Werte unter „Änderungen der Gruppenrichtlinienberechtigungen“ an.
