Come controllare le modifiche ai criteri di gruppo in Active Directory

I passaggi per abilitare il controllo usando Console Gestione Criteri di gruppo (GPMC):

Esegui le seguenti azioni sul controller di dominio (DC):

1. Premi Start, cerca e apri la Console Gestione Criteri di gruppo oppure esegui il comando gpmc.msc.

2. Fai clic con il pulsante destro del mouse sul dominio o sull'unità organizzativa che desideri controllare, quindi scegli Crea un oggetto Criteri di gruppo in questo dominio e collegalo qui.

Nota: se hai già creato un oggetto Criteri di gruppo, fai clic su Collega un oggetto Criteri di gruppo esistente.

3. Assegna un nome all'Oggetto Criteri di gruppo a seconda del caso.
4. Fai clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo e scegli Modifica.

5. Nel riquadro sinistro di Modifica Criteri di gruppo, nel riquadro di sinistra vai a Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni sicurezza > Configurazione avanzata dei criteri di controllo > Criteri di controllo > Gestione account.

6. Nel riquadro di destra, vedrai un elenco di criteri che si trovano in Accesso DS. Fai doppio clic su Modifiche al servizio Active Directory e seleziona le caselle Configura gli eventi di controllo seguenti, Operazione riuscita ed errore.

7. Fai clic su Applica, quindi OK.
8. Passa a Configurazione computer -> Impostazioni di Windows -> Impostazioni sicurezza -> Configurazione avanzata dei criteri di controllo -> Criteri controllo -> Accesso agli oggetti.

9. Nel riquadro di destra, vedrai un elenco di criteri che si trovano in Accesso agli oggetti. Fai doppio clic su Controlla File system e seleziona le caselle Configura gli eventi di controllo seguenti, Operazione riuscita ed Errore.

10. Torna alla Console Gestione Criteri di gruppo e nel riquadro sinistro fai clic con il pulsante destro del mouse sull'unità organizzativa desiderata a cui è stato collegato l'oggetto Criteri di gruppo, quindi scegli Aggiornamento Criteri di gruppo. Questo passaggio assicura che le nuove impostazioni dei Criteri di gruppo vengano applicate immediatamente, anziché attendere il successivo aggiornamento pianificato.

Una volta abilitato questo criterio, gli eventi vengono registrati nel registro di sicurezza del controller di dominio ogni volta che viene modificato un oggetto Criteri di gruppo.

Passaggi per configurare il controllo degli oggetti groupPolicyContainer tramite ADSI Edit

Esegui le azioni seguenti sul controller di dominio:

1. Fai clic su Start, cerca ADSI Edit, fai clic con il pulsante destro del mouse e seleziona Esegui come amministratore.

2. Nel riquadro di sinistra, fai clic con il pulsante destro del mouse su ADSI Edit e seleziona Connetti a.

3. Nella nuova finestra, assicurati che Nome sia impostato su Contesto dei nomi predefinito e il nome di dominio indicato nel Percorso sia il dominio che desideri controllare.

4. Fai clic su OK.
5. Fai doppio clic su Contesto dei nomi predefinito e vai a DC=domain,DC=com > CN=System > CN=Policies.

6. Fai clic con il pulsante destro del mouse su CN=Policies e seleziona Proprietà.

7. Vai alla scheda Sicurezza e fai clic sul pulsante Avanzate.

8. Vai alla scheda Controllo e fai clic sul pulsante Aggiungi.

9. Fai clic su Seleziona entità e cerca Tutti, quindi fai clic su OK.
10. Fai clic sull'elenco a discesa Tipo e seleziona Operazione riuscita. Fai clic sull'elenco a discesa Si applica a, quindi seleziona Questo oggetto e tutti gli oggetti discendenti.

11. Scorri verso il basso e seleziona le caselle Crea oggetti groupPolicyContainer e Elimina gli oggetti groupPolicyContainer e fai clic su OK per chiudere la finestra Voce di controllo. Fai clic su OK per chiudere la finestra Impostazioni di sicurezza avanzate. Fai clic su OK per chiudere la finestra Proprietà.

A questo punto hai abilitato il controllo della creazione e dell'eliminazione degli oggetti groupPolicyContainer.

Passaggi per controllare la cartella SYSVOL

Tutti i file di Criteri di gruppo sono archiviati nella cartella SYSVOL del controller di dominio, pertanto per controllare le modifiche apportate all'oggetto Criteri di gruppo, devi controllare questa cartella. Esegui le azioni seguenti sul controller di dominio:

Nota: se non disponi dell'accesso a un controller di dominio, accedi alla cartella SYSVOL tramite la condivisione di rete.

1. Apri Esplora file e vai a C: > Windows > SYSVOL > dominio.
2. Fai clic con il pulsante destro del mouse sulla cartella Criteri e seleziona Proprietà.

3. Vai alla scheda Sicurezza e fai clic sul pulsante Avanzate.

4. Seleziona la scheda Controllo e fai clic sul pulsante Aggiungi.

5. Fai clic su Seleziona entità, cerca Tutti e fai clic su OK.
6. Fai clic sull'elenco a discesa Tipo e seleziona Tutto. Fai clic sull'elenco a discesa Si applica a e seleziona Questa cartella, le sottocartelle e i file.
7. Fai clic su Mostra autorizzazioni avanzate e seleziona la casella Pieno controllo.

8. Fai clic su OK.

Passaggi per visualizzare gli eventi di modifica ai Criteri di gruppo utilizzando il Visualizzatore eventi

Una volta completati i passaggi precedenti, le modifiche apportate a qualsiasi oggetto Criteri di gruppo verranno registrate come eventi. Questi possono essere visualizzati nel Visualizzatore eventi seguendo i passaggi seguenti:

1. Premi Start, cerca Visualizzatore eventi e fai clic per aprirlo.
2. Nel riquadro sinistro della finestra del Visualizzatore eventi, vai a Registri di Windows > Sicurezza.
3. Qui troverai un elenco di tutti gli eventi di sicurezza registrati nel sistema.

4. Nel riquadro destro sotto Sicurezza, fai clic su Filtra registro corrente.

5. Nella finestra pop-up, inserisci l'ID evento* nel campo (Tutti gli ID evento).

Per gli eventi indicati vengono generati i seguenti ID evento:

ID evento	Tipo di evento	Descrizione
5136	Operazione riuscita	È stato modificato un oggetto del servizio directory.
5137	Operazione riuscita	È stato creato un oggetto del servizio directory.
5138	Operazione riuscita	È stata annullata l'eliminazione di un oggetto del servizio directory.
5139	Operazione riuscita	È stato spostato un oggetto del servizio directory.
5141	Operazione riuscita	È stato eliminato un oggetto del servizio directory.

6. Fai clic su OK. In questo modo verrà visualizzato un elenco delle occorrenze dell'ID evento immesso.
7. Fai doppio clic su un ID evento per visualizzarne le proprietà (descrizione).

L'evento 5137 viene registrato quando viene creato un oggetto Criteri di gruppo. I seguenti dettagli vengono registrati nelle proprietà dell'evento, tra gli altri:

• Il nome distinto dell'oggetto che è stato modificato.
• Il SID e il nome dell'account che ha richiesto l'operazione.
• L'attributo object che è stato modificato.
• Il tipo di operazione eseguita sull'oggetto Criteri di gruppo, ovvero se un valore è stato aggiunto o rimosso dall'oggetto Criteri di gruppo.

Limitazioni degli strumenti di controllo nativi:

• Per tenere traccia degli eventi critici, un amministratore dovrebbe cercare ogni ID evento e visualizzarne le proprietà. Questo è poco pratico anche per una piccola organizzazione.
• Le informazioni dettagliate del controllo nativo sono insufficienti. Anche se l'amministratore tiene traccia degli eventi, non sarebbe comunque in grado di sapere se una modifica è un segno di un comportamento atipico dell'utente.
• Gli eventi menzionati in precedenza mostrano solo il nome dell'oggetto Criteri di gruppo e non mostrano i valori precedenti e nuovi dell'oggetto Criteri di gruppo modificato.
• È possibile eseguire una modifica dei Criteri di gruppo da qualsiasi controller di dominio nel dominio. L'amministratore dovrebbe monitorare gli eventi su ogni controller di dominio, il che rappresenta una mole di lavoro eccessiva. Uno strumento centralizzato per monitorare gli eventi di tutti i controller di dominio ridurrebbe enormemente il lavoro.