Zuhause »

Wie man Änderungen an FSMO-Rollen überwacht

Starten Sie Ihre kostenlose Testversion

In Active Directory definieren FSMO-Rollen die Verantwortlichkeiten für jeden Domänencontroller (DC) in einer Gesamtstruktur zusammen mit den darunter liegenden Domänen. Wenn ein kompromittierter Benutzer die FSMO-Rolle von einem DC auf einen anderen überträgt, könnte dies ein enormes Sicherheitsrisiko im Netzwerk darstellen. Diese neu erlangte Berechtigung aus der FSMO-Rolle könnte von Benutzern mit Administratorzugriff auf diesen DC missbraucht werden. Aus diesem Grund ist es wichtig, Änderungen an FSMO-Rollen im Auge zu behalten.

Schritte zur Aktivierung der Überwachung mit der Gruppenrichtlinien-Verwaltungskonsole (GPMC):

Um Änderungen an FSMO-Rollen zu überwachen, müssen Sie zunächst die Überwachung für diese Änderungen aktivieren. Führen Sie dazu die folgenden Aktionen auf dem DC aus:

  1. Gehen Sie zu Start → Gruppenrichtlinien-Verwaltungskonsole. Sie können auch den Befehl gpmc.msc mit erhöhten Berechtigungen ausführen.
    2. screenshot
  2. Klicken Sie mit der rechten Maustaste auf die Domäne oder Organisationseinheit (OU), in der Sie FSMO-Rollenänderungen überwachen möchten, wählen Sie Gruppenrichtlinienobjekt (GPO) in dieser Domäne erstellen und Hier verknüpfen... aus und benennen Sie es.

    3. Hinweis: Wenn Sie die Überwachungsrichtlinie mit einem vorhandenen Gruppenrichtlinienobjekt verknüpfen möchten, wählen Sie Vorhandenes Gruppenrichtlinienobjekt verknüpfen...

    screenshot
  3. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und wählen Sie Bearbeiten aus. Dadurch wird der Gruppenrichtlinien-Editor geöffnet.
    4. screenshot
  4. Navigieren Sie im linken Bereich des Gruppenrichtlinien-Editors zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Überwachungsrichtlinienkonfiguration → Überwachungsrichtlinien → DS-Zugriff.
    5. screenshot
  5. Im rechten Bereich werden die folgenden Richtlinien unter DS-Zugriff angezeigt:
    • Überwachung der detaillierten Verzeichnisdienstreplikation
    • Überwachung des Verzeichnisdienstzugriffs
    • Verzeichnisdienständerungen überwachen
    • Verzeichnisdienstreplikation überwachen

    6. Doppelklicken Sie auf jede der Überwachungsrichtlinien und aktivieren Sie die Kontrollkästchen Folgende Überwachungsereignisse konfigurieren, Erfolg und Fehler.

    screenshot
  6. Klicken Sie auf Übernehmen und dann auf OK.

Schritte zum Anzeigen von FSMO-Rollenänderungsereignissen mithilfe von Event Viewer:

Führen Sie die folgenden Aktionen auf dem DC aus:

  1. Klicken Sie auf Start, suchen Sie nach Event Viewer, klicken Sie mit der rechten Maustaste darauf und wählen Sie Als Administrator ausführen.
  2. Navigieren Sie im linken Fensterbereich des Fensters Ereignisanzeige (Event Viewer) zu Anwendungs- und Dienstprotokolle → Verzeichnisdienst.
    3. screenshot
  3. Klicken Sie im rechten Fensterbereich unter Aktionen auf Aktuelles Protokoll filtern...
  4. Geben Sie im Popup-Fenster die Ereignis-ID 1458 in das Feld <;Alle Ereignis-IDs> ein.
    5. screenshot
  5. Klicken Sie auf OK. Daraufhin wird eine Liste der Vorkommen der Ereignis-ID 1458 angezeigt. Doppelklicken Sie auf die Ereignis-ID, um ihre Eigenschaften anzuzeigen.
    6. screenshot

Obwohl die systemeigene Überwachung von Windows es Ihnen ermöglicht, nach Änderungen in den FSMO-Rollen zu suchen, wird es mühsam und oft unmöglich, Änderungen in großem Umfang manuell zu analysieren und zu untersuchen. In solchen Szenarien benötigen Sie eine intuitive und interaktive Lösung, die Änderungen überwachen und Sie über diese informieren kann und Ihnen umfassende Berichte über die Änderungsaktion zur Verfügung stellt.

ADAudit Plus ist eine Lösung zur Echtzeit-Überprüfung von AD-Änderungen, die vorgefertigte Berichte für alle AD-Änderungen, einschließlich FSMO-Rollenänderungen, enthält.

Laden Sie jetzt eine kostenlose 30-Tage-Testversion herunter.

Schritte zur Überprüfung von Änderungen an FSMO-Rollen mit ManageEngine ADAudit Plus

Aktivieren Sie die Überwachung und führen Sie dann die folgenden Aktionen aus.

  1. Laden Sie ADAudit Plus herunter und installieren Sie es.
  2. Öffnen Sie die ADAudit Plus-Konsole und melden Sie sich als Administrator an.
  3. Navigieren Sie zu Berichte → Active Directory → Konfigurationsüberwachung → FSMO-Rollenänderungen.
1
 

Sehen Sie, wer die Rolle wann geändert hat und auf welchem DC die Aktion ausgeführt wurde, zusammen mit Details zu den alten und neuen Werten.

1
 

Erhalten Sie aufschlussreiche Berichte über alle Änderungen, die am AD-Schema und seinen Eigenschaften vorgenommen wurden.

How to monitor FSMO roles changes

Erhalten Sie aufschlussreiche Berichte über alle Änderungen, die am AD-Schema und seinen Eigenschaften vorgenommen wurden.

  • ADAudit Plus bietet eine zentrale Plattform zur Überwachung aller Änderungen, die an Ihren AD-Objekten und deren Attributen vorgenommen werden.
  • Mit seiner UBA-Engine (User Behavior Analytics) können Sie Insider-Bedrohungen ausmerzen. Durch die Erstellung einer Basislinie des typischen Benutzerverhaltens erkennt sie jede Abweichung von diesem Verhalten und benachrichtigt Administratoren per E-Mail oder SMS.
  • Erstellen Sie sofort einsatzbereite Berichte, um Compliance-Vorschriften wie SOX, HIPAA, GLBA, PCI DSS, FISMA und die DSGVO in Ihrer Organisation mühelos zu erfüllen.
Laden Sie eine kostenlose 30-Tage-Testversion herunter

Verwandte How-Tos

 
  • Active Directory
  • File servers
  • Windows server
  • Workstation
  • Related Products