Accueil

Comment suivre les modifications apportées aux groupes dans Active Directory ?

Les groupes permettent de classer les utilisateurs en fonction des autorisations de sécurité et des accès qui leur sont attribués. Toute modification des groupes AD peut avoir pour conséquence qu'un ensemble d'utilisateurs perde l'accès à des ressources ou qu'un employé malveillant se voie accorder l'accès à des informations sensibles. C'est pourquoi il est important que les administrateurs informatiques vérifient en permanence les modifications apportées aux groupes AD.

Les modifications apportées aux groupes AD peuvent être détectées à l'aide des outils disponibles dans l'infrastructure AD native. Vous pouvez également simplifier ce processus en utilisant ADAudit Plus, une solution d'audit Active Directory en temps réel.

Télécharger GRATUITEMENT
Essai gratuit et entièrement fonctionnel pendant 30 jours

  • Avec audit AD natif

  • Avec ADAudit Plus

Comment suivre les changements de groupes AD avec ADAudit Plus

  • Pour suivre les modifications apportées à vos groupes AD, vous devez activer l'audit de votre Active Directory.

  • Dans la console ADAudit Plus, allez dans l’onglet 'Rapports' et accédez à 'Gestion des groupes' dans le panneau de gauche. Cette fonction vous fournit une liste de rapports préconfigurés sur l'activité des groupes dans AD.

  • Vous pouvez également accéder à une vue consolidée des rapports d'activité des utilisateurs en relation avec les groupes AD dans la section 'Gestion des utilisateurs.'.

  • Les rapports préconfigurés incluent les groupes de sécurité récemment créés et supprimés, les membres ajoutés ou supprimés d'un groupe de sécurité. Vous pouvez également créer des rapports personnalisés et les exporter (CSV, PDF, XSL, HTML).

  • Vous pouvez appliquer des filtres basés sur des attributs tels que « Nom du groupe », « Contrôleur de domaine », « Nom du membre », « Portée du groupe », etc.

    how-to-track-changes-to-groups-in-active-directory-6how-to-track-changes-to-groups-in-active-directory-7

  • ADAudit Plus est une solution plus efficace pour suivre les changements de groupes AD. Grâce à cette solution, au lieu de rechercher des identifiants d'événements individuels, vous pouvez obtenir une vue consolidée de tous les changements de groupe pour une période donnée. Les rapports préconfigurés de la solution vous permettent également de suivre sans effort les changements importants apportés à votre AD en quelques clics.

Suivi des changements de groupe avec l'outil AD natif

  • Étape 1 : Activer l'audit des stratégies de groupe

  • Lancez le Gestionnaire de serveur et ouvrez la console de gestion des stratégies de groupe (GPMC).

  • Dans le volet de gauche, développez les nœuds 'Forêt' et 'Domaines' pour faire apparaître le domaine spécifié pour lequel vous souhaitez suivre les modifications.

  • Développez le domaine et faites un clic droit sur 'Stratégie de domaine par défaut.'. Vous pouvez également choisir une stratégie de domaine universelle ou créer un nouveau GPO et le lier à la stratégie de domaine par défaut.

  • Cliquez sur 'Modifier' dans la stratégie de groupe souhaitée pour ouvrir l'éditeur de gestion de la stratégie de groupe.

  • Développez Configuration de l’ordinateur --->Stratégies---->Paramètres Windows ----->Paramètres de sécurité----->Stratégies locales------->Audit des stratégies.

  • Activez les options de succès et d'échec pour les propriétés de stratégie 'Audit de la gestion des comptes' et 'Audit de l'accès aux objets.' Quitter l'éditeur de gestion des stratégies de groupe.

    how-to-track-changes-to-groups-in-active-directory-1

  • Dans la GPMC, choisissez la GPO modifiée et cliquez sur 'Ajouter' dans la section 'Sécurité' du volet de droite. Tapez « Tout le monde » dans la zone de texte et cliquez sur « Vérifier les noms » pour « suivre les modifications apportées par toutes les personnes qui se sont connectées au domaine » ou quelque chose de similaire fonctionnerait. Quittez GPMC.

  • Pour appliquer ces changements à l'ensemble du domaine, exécutez la commande « gpupdate /force » dans la console Exécuter" .

  • Étape 2 : Autoriser l'audit AD via ADSI Edit

  • Dans le ' Gestionnaire de serveur' allez dans 'Outils' et sélectionnez 'ADSI Edit'.

  • Faites un clic droit sur le nœud 'ADSI Edit' dans le panneau de gauche et sélectionnez l’option 'Se connecter.'La fenêtre 'Paramètres de connexion ' s'affiche.

  • Sélectionnez l’option 'Contexte d'attribution de noms par défaut' dans le menu déroulant 'Sélectionner un contexte d’attribution de noms connu.'.

  • Cliquez sur 'OK' et revenez à la fenêtre ADSI Edit. Développez 'Contexte de dénomination par défaut' et sélectionnez le sous-nœud 'DC' associé. Faites un clic droit sur ce sous-nœud et cliquez sur « Propriétés ».

  • Dans la fenêtre 'Propriétés' allez dans l’onglet 'Sécurité' et sélectionnez 'Avancé'. Ensuite, sélectionnez l’onglet 'Audit' et cliquez sur 'Ajouter'.

    how-to-track-changes-to-groups-in-active-directory-3

  • Cliquez sur ' Sélectionner un principal de service'. La fenêtre 'Sélectionner un utilisateur, un ordinateur ou un groupe 's'affiche. Tapez Tout le monde dans la zone de texte et vérifiez-le en cliquant sur 'Vérifier les noms.'.

  • Le Principal de la fenêtre 'Entrée d'audit ' affiche désormais Tout le monde. Dans le menu déroulant Type, sélectionnez 'Tous' pour vérifier les événements de type Succès et Échec.

  • Dans le menu déroulant 'Sélectionner' choisissez 'Cet objet et tous les objets descendants. Cela permet d'auditer les objets descendants de l’UO. Sélectionnez 'Contrôle total' dans la section Autorisations.

  • Cela permet de sélectionner toutes les cases à cocher disponibles. Désélectionnez les cases à cocher suivantes :

    1. Contrôle total

    2. Répertorier les contenus

    3. Lire toutes les propriétés

    4. Lire les autorisations

    how-to-track-changes-to-groups-in-active-directory-4
  • Étape 3 : Afficher les événements dans l’Observateur d'événements

  • Vous pouvez consulter les modifications apportées à vos groupes en accédant aux « Journaux de sécurité » dans l'Observateur d’événements. La liste ci-dessous correspond aux événements de changements de groupes AD. Vous pouvez rechercher ou filtrer ces événements dans votre Observateur d'événements.

  • ID d'événement : 4727 Un groupe de sécurité a été créé

  • ID d'événement : 4729 Un membre a été retiré d'un groupe de sécurité

  • ID d'événement : 4728 Un membre a été ajouté à un groupe de sécurité

  • ID d'événement : 4730 Un groupe de sécurité a été supprimé.

    how-to-track-changes-to-groups-in-active-directory-5

L’audit natif devient-il un peu trop compliqué ?

Simplifiez l'audit et le reporting LDAP avec ADAudit Plus.

Obtenez votre essai gratuitEssai de 30 jours entièrement fonctionnel