Zuhause »

Wie man die Aktivitäten von Administratorbenutzern in Active Directory überwacht

Starten Sie Ihre kostenlose Testversion

In Active Directory (AD) haben Benutzer mit Administratorrechten vollständigen und uneingeschränkten Zugriff auf die gesamte Domäne, um AD-Objekte und ihre Attribute zu ändern. Benutzerkonten, die Mitglieder der Gruppe „Domänenadministratoren“ oder anderer Gruppen mit Administratorrechten sind, müssen auf verdächtiges Verhalten überwacht werden. Diese Konten können ernsthafte Sicherheitsbedrohungen darstellen, wenn sie in die Hände von unbefugten Agenten gelangen. Lesen Sie weiter, um zu erfahren, wie Sie die von Administratorkonten ausgeführten Aktionen mithilfe der nativen Überwachung von Windows und ManageEngine ADAudit Plus überwachen können.

Schritte zum Aktivieren der Überwachung mithilfe der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC)

Führen Sie die folgenden Aktionen auf dem Domänencontroller (DC) aus:

  1. Drücken Sie auf Start, suchen Sie nach der Gruppenrichtlinien-Verwaltungskonsole und öffnen Sie sie, oder führen Sie den Befehl gpmc.msc aus.
    2. screenshot
  2. Klicken Sie mit der rechten Maustaste auf die Domäne oder Organisationseinheit (OU), die Sie prüfen möchten, und klicken Sie auf GPO in dieser Domäne erstellen und Hier verknüpfen.... Wenn Sie bereits ein Gruppenrichtlinienobjekt (GPO) erstellt haben, fahren Sie mit Schritt 4 fort.
    3. screenshot
  3. Benennen Sie das GPO.
  4. Klicken Sie mit der rechten Maustaste auf das GPO und wählen Sie Bearbeiten.
    5. screenshot
  5. Navigieren Sie im linken Bereich des Gruppenrichtlinien-Verwaltungs-Editors zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Überwachungsrichtlinie.
    6. screenshot
  6. Doppelklicken Sie im rechten Fensterbereich auf Überwachungsereignisse für die Kontoanmeldung, und aktivieren Sie die Kontrollkästchen neben Diese Richtlinieneinstellungen definieren, Erfolg und Fehler.
    7. screenshot
  7. Navigieren Sie zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Überwachungsrichtlinienkonfiguration → Überwachungsrichtlinien → Kontoanmeldung.
    8. screenshot
  8. Doppelklicken Sie im rechten Fensterbereich auf Überwachung der Anmeldeinformationsüberprüfung, und aktivieren Sie die Kontrollkästchen neben Folgende Überwachungsereignisse konfigurieren, Erfolg und Fehler.
    9. screenshot
  9. Klicken Sie auf Übernehmen und dann auf OK.
  10. Navigieren Sie zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Überwachungsrichtlinienkonfiguration → Überwachungsrichtlinien → Kontoverwaltung → Überwachung der Benutzerkontenverwaltung, und aktivieren Sie die Kontrollkästchen neben Konfigurieren der folgenden Überwachungsereignisse, Erfolg und Fehler.
    11. screenshot
  11. Navigieren Sie zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Überwachungsrichtlinienkonfiguration → Überwachungsrichtlinien → Kontoverwaltung → Überwachung der Computerkontenverwaltung, und aktivieren Sie die Kontrollkästchen neben Konfigurieren der folgenden Überwachungsereignisse, Erfolg und Fehler.
    12. screenshot
  12. Navigieren Sie zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Überwachungsrichtlinienkonfiguration → Überwachungsrichtlinien → DS-Zugriff → Verzeichnisdienständerungen überwachen und aktivieren Sie die Kontrollkästchen neben Folgende Überwachungsereignisse konfigurieren, Erfolg und Fehler.
    13. screenshot
  13. Kehren Sie zur Gruppenrichtlinien-Verwaltungskonsole zurück, klicken Sie im linken Fensterbereich mit der rechten Maustaste auf die gewünschte OU, mit der das Gruppenrichtlinienobjekt verknüpft wurde, und klicken Sie auf Gruppenrichtlinienaktualisierung... Durch diesen Schritt wird sichergestellt, dass die neuen Gruppenrichtlinieneinstellungen sofort angewendet werden, anstatt auf die nächste geplante Aktualisierung zu warten.
    14. screenshot

Schritte zum Anzeigen dieser Ereignisse in der Ereignisanzeige (Event Viewer)

Sobald die oben genannten Schritte abgeschlossen sind, werden die Ereignisse im Ereignisprotokoll gespeichert. Diese können in der Ereignisanzeige angezeigt werden. Zuvor müssen Sie jedoch herausfinden, welche Benutzer über Administratorrechte verfügen. Führen Sie die folgenden Aktionen auf einem Domänencontroller (DC) aus:

  1. Drücken Sie auf Start, suchen Sie nach der Active Directory-Benutzer und -Computer-Konsole und öffnen Sie sie.
    2. screenshot
  2. Navigieren Sie zur Organisationseinheit <Domänenname>Domänenname → Benutzer, und doppelklicken Sie auf die Gruppe Domänenadministratoren. Wechseln Sie zur Registerkarte „Mitglieder“. Hier finden Sie eine Liste der Benutzer mit Administratorrechten.
    3. screenshot
  3. Drücken Sie auf Start, suchen Sie nach Ereignisanzeige und klicken Sie darauf, um sie zu öffnen.
  4. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf Benutzerdefinierte Ansichten und wählen Sie Benutzerdefinierte Ansicht erstellen... aus.
    5. screenshot
  5. Wechseln Sie im Fenster „Benutzerdefinierte Ansicht erstellen“ zur Registerkarte XML, aktivieren Sie das Kontrollkästchen neben Abfrage manuell bearbeiten und klicken Sie im Popup-Warnungsdialogfeld auf Ja.
  6. Geben Sie im Abfragefeld die folgende Abfrage ein:

    7. <QueryList>

    <Query Id=„0“ Path=„Security“>

    <Select Path=„Security“>

    *[EventData[Data[@Name='SubjectUserName'] and(Data='')]]

    </Select>

    </Query>

    </QueryList>

     

    *Ersetzen Sie <username> durch den gewünschten Benutzernamen des Administrators.

    screenshot
  7. Klicken Sie auf OK und benennen Sie die Benutzerdefinierte Ansicht. Nun können Sie eine Liste der Ereignis-IDs anzeigen, die mit den vom Administratorkonto unter Benutzerdefinierte Ansichten ausgeführten Aktionen verknüpft sind.
    8. screenshot

Die oben beschriebene Methode ist unrealistisch, wenn Sie mit zahlreichen Administratoren und Tausenden von Ereignissen arbeiten müssen. Als Administrator müssten Sie jedes Ereignis manuell nachschlagen, um seine Details anzuzeigen.

ADAudit Plus, ein umfassendes AD-Überwachungstool, hilft Ihnen bei der Überwachung aller Änderungen an Ihrem Active Directory, einschließlich der von Administratorkonten durchgeführten Änderungen.

Laden Sie eine kostenlose 30-Tage-Testversion herunter.

Schritte zur Überwachung der Administrator-Benutzeraktivität mit ManageEngine ADAudit Plus

  1. ADAudit Plus herunterladen und installieren.
  2. Hier finden Sie die Schritte zur Konfiguration der Überwachung auf Ihrem Domänencontroller.
  3. Öffnen Sie die Konsole und melden Sie sich als Administrator an.
  4. Navigieren Sie zu Berichte → Kontoverwaltung → Administrative Benutzeraktionen
1
 

Zeigen Sie die von Administratorkonten ausgeführten Verwaltungsaktivitäten für Benutzer, Computer, Gruppen und Organisationseinheiten an.

How to monitor administrator user activities in Active Directory
1
 

Zeigen Sie Berichte für bestimmte Benutzer an, indem Sie das Benutzerobjekt auswählen, oder führen Sie eine erweiterte Suche durch, um Berichte für einen bestimmten Änderungstyp anzuzeigen.

How to monitor administrator user activities in Active Directory

Vorteile der Verwendung von ADAudit Plus gegenüber der nativen Überwachung:

  • Sie erhalten Berichte über Änderungen an allen AD-Objekten nach Administratorkonten an einem Ort und Berichte über alle Änderungen, die von anderen Benutzern vorgenommen wurden.
  • Sie können sofort einsatzbereite Berichte über Änderungen an Ihrem Azure AD anzeigen und Echtzeit-Benachrichtigungen über kritische Ereignisse erhalten.
  • Lassen Sie sich benachrichtigen, wenn unregelmäßiges Benutzerverhalten erkannt wird. ADAudit Plus verwendet Benutzerverhaltensanalysen (UBA), um eine Basislinie normaler Benutzeraktivitäten zu erstellen und Sie zu benachrichtigen, wenn ein Benutzer von diesem Verhalten abweicht. Zum Beispiel ein ungewöhnlich hohes Volumen an Anmeldeversuchen, Anmeldungen zu ungewöhnlichen Zeiten oder der erste Remote-Zugriff eines Benutzers auf einen Host.
Laden Sie eine kostenlose 30-Tage-Testversion von ADAudit Plus herunter

Verwandte How-Tos

 
  • Active Directory
  • File servers
  • Windows server
  • Workstation
  • Related Products