So erkennen Sie, wer einen Benutzer zur Gruppe der Domänenadministratoren hinzugefügt hat

Schritte zur Aktivierung der Überwachung mit der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC):

Führen Sie die folgenden Aktionen auf dem Domänencontroller (DC) aus:

1. Klicken Sie auf Start, suchen Sie nach der Gruppenrichtlinien-Verwaltungskonsole und öffnen Sie sie oder führen Sie den Befehl gpmc.msc aus.

2. Klicken Sie mit der rechten Maustaste auf die Domäne oder Organisationseinheit (OU), die Sie überwachen möchten, und klicken Sie auf Gruppenrichtlinienobjekt (GPO) in dieser Domäne erstellen und Hier verknüpfen.... Wenn Sie bereits ein GPO erstellt haben, fahren Sie mit Schritt 4 fort.

3. Benennen Sie das GPO.
4. Klicken Sie mit der rechten Maustaste auf das GPO und wählen Sie Bearbeiten.

5. Navigieren Sie im linken Bereich des Gruppenrichtlinienverwaltungs-Editors zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Überwachungsrichtlinie.

6. Im rechten Bereich sehen Sie unter Überwachungsrichtlinie eine Liste mit Richtlinien. Doppelklicken Sie auf Überwachung der Kontoverwaltung und aktivieren Sie die Kontrollkästchen neben Diese Richtlinieneinstellungen definieren, Erfolg und Fehler.

7. Klicken Sie auf Übernehmen und dann auf OK.
8. Kehren Sie zur Gruppenrichtlinien-Verwaltungskonsole zurück, klicken Sie im linken Fensterbereich mit der rechten Maustaste auf die gewünschte OU, mit der die Gruppenrichtlinie verknüpft wurde, und klicken Sie auf Gruppenrichtlinienaktualisierung. Durch diesen Schritt wird sichergestellt, dass die neuen Gruppenrichtlinieneinstellungen sofort angewendet werden, anstatt auf die nächste geplante Aktualisierung zu warten.

Sobald diese Richtlinie aktiviert ist, werden entsprechende Ereignisse unter der Sicherheitsprotokollkategorie des DCs protokolliert, wenn ein Benutzer zur sicherheitsaktivierten Gruppe hinzugefügt wird.

Schritte zum Anzeigen dieser Ereignisse im Event Viewer (Ereignisanzeige)

Sobald die oben genannten Schritte abgeschlossen sind, werden Ereignisse im Ereignisprotokoll gespeichert. Sie können in der Ereignisanzeige angezeigt werden, indem Sie die folgenden Schritte ausführen:

1. Drücken Sie auf Start, suchen Sie nach Ereignisanzeige und klicken Sie darauf, um sie zu öffnen.
2. Navigieren Sie im linken Bereich des Fensters Ereignisanzeige zu Windows-Protokolle → Sicherheit.
3. Hier finden Sie eine Liste aller Sicherheitsereignisse, die im System protokolliert sind.

4. Klicken Sie im rechten Fensterbereich unter Sicherheit auf Aktuelles Protokoll filtern.

5. Geben Sie im Pop-up-Fenster 4728 in das Feld <Alle Ereignis-IDs> ein.
6. Klicken Sie auf OK. Daraufhin wird eine Liste der Vorkommen der Ereignis-ID 4728 angezeigt, die protokolliert wird, wenn ein neuer Benutzer zu einer Sicherheitsgruppe hinzugefügt wird.
7. Doppelklicken Sie auf die Ereignis-ID, um ihre Eigenschaften (Beschreibung) anzuzeigen. Suchen Sie in der Beschreibung unter Gruppenname nach Domänenadministratoren.

Der Abschnitt mit der Bezeichnung Betreff zeigt an, wer den neuen Benutzer hinzugefügt hat.

Der Abschnitt mit der Bezeichnung Mitglied zeigt den Namen und die SID des neuen Benutzers an, der der Gruppe hinzugefügt wurde.

Diese Methode ist mühsam, da Sie die Beschreibung jedes Ereignisses anzeigen müssen, um dasjenige zu finden, das sich auf die Gruppe der Domänenadministratoren bezieht.

ADAudit Plus, ein optimiertes AD-Überwachungstool, ermöglicht es Administratoren, mühelos Änderungen der Sicherheitsgruppenmitgliedschaft und andere Gruppenverwaltungsinformationen zu überwachen.