Come generare report sui dettagli degli oggetti di Active Directory eliminati
ADAudit Plus » Come generare report sui dettagli degli oggetti di Active Directory eliminati

Come generare report sui dettagli degli oggetti di Active Directory eliminati

L’eliminazione degli oggetti AD è generalmente confinata ai privilegi degli amministratori, perciò, in caso di un’eliminazione sospetta, diventa cruciale individuare l’utente che ha inizializzato tale evento. Un simile utente non autorizzato può rappresentare un terribile rischio per la sicurezza della rete e, prima l’amministratore IT è in grado di rintraccialo, minori saranno i danni.

Restando nell'ambiente nativo di AD, persino Windows PowerShell non è in grado di produrre questo genere di report senza assistenza. È necessario utilizzare varie applicazioni prima di poter ottenere l’informazione ricercata. ADAudit Plus, d’altro canto, produrrà il report soltanto in pochi minuti. Ciò è possibile perché ADAudit Plus è equipaggiato con numerosi report preconfezionati che aiutano ad effettuare un audit generale dell’intera rete. Ecco un confronto tra le procedure per trovare l’utente che ha eliminato un oggetto AD tramite Windows PowerShell e ADAudit Plus.

Tramite Windows PowerShell

Questo metodo usa PowerShell per elencare gli oggetti eliminati, il prompt dei comandi per scoprire più dettagli su ogni singolo oggetto e, infine, il visualizzatore eventi per localizzare il singolo evento e l’utente che l’ha inizializzato.
  • Identificare il dominio pertinente.
  • Determinare gli attributi che devono essere nel report. Ad esempio, il nome distinto (DN), il numero di giorni che la query deve analizzare e via dicendo.
  • Selezionare il controller di dominio e per il quale desideri generare il report.
  • Scrivere il codice. Un codice di esempio è stato inserito al termine di questa sezione.
  • Compilare lo script.
  • Eseguirlo in Windows PowerShell.
  • Dall’elenco dei computer eliminati, selezionare quello di cui si desidera ottenere ulteriori dettagli. Copiare il nome distinto (DN) dell’oggetto eliminato. Il DN sarà usato per eseguire un comando nel prompt dei comandi, in grado di mostrare ulteriori dettagli sull’oggetto eliminato.
  • Aprire il visualizzatore eventi di Active Directory e usare i dati ottenuti nei precedenti passaggi per filtrare tutti gli eventi di eliminazione e localizzare l’utente che ha eliminato l’oggetto computer.

Script di esempio:

Get-Adobject -includedeletedobjects -filter{objectclass -eq "computer" -and isdeleted -eq$true}
 Copied
Fare clic per copiare l’intero script

Dal risultato così ottenuto, copiare il DN dello specifico oggetto eliminato.
Quindi, aprire il prompt dei comandi e digitare la seguente stringa inserendo il nome del proprio controller di dominio e il nome distinto (DN) dell’oggetto eliminato negli spazi appropriati: “repadmin /showobjmeta nameofDC” e "DN of computer object”

Ciò fornirà la data e l’ora dell’eliminazione. Ora è possibile usare la date per filtrare gli eventi nel visualizzatore eventi di Active Directory e scoprire chi è l’utente che ha eliminato l’oggetto AD.

Tramite ADAudit Plus

  • Aprire ADAudit Plus e andare in Report > Gestione computer > Computer eliminati di recente per trovare un report dettagliato.
  • Selezionare dominio e UO, quindi fare clic su Genera.
  • Selezionare Esporta come per esportare il report nei vari formati disponibili (CSV, PDF, HTML, CSVDE e XLSX).

Screenshot:

powershell-find-who-deleted-ad-object-1

Sono presenti numerose limitazioni nell’uso di Windows PowerShell per trovare i dettagli di un oggetto eliminato, come quelle elencate di seguito:

  • Lo script PowerShell può essere eseguito solo su computer che dispongono del ruolo Active Directory Domain Services.
  • È necessario usare varie applicazione per ottenere i dati richiesti per questa analisi.
  • Per esportare il report in un formato specifico, occorre modificare lo script.
  • L'applicazione di ulteriori filtri aumenta la complessità dello script.

D'altro canto, i report preconfezionati di ADAudit Plus forniscono le informazioni necessarie soltanto con pochi clic. Ciò è possibile perché ADAudit Plus è equipaggiato con numerosi report preconfezionati che aiutano ad effettuare un audit generale dell’intera rete. Oltre a ciò, è possibile progettare dei report personalizzati in grado di adattarsi alle proprie esigenze di sicurezza.

  • Script PowerShell e semplificazione del controllo delle modifiche AD con ADAudit Plus.
  •  
  • Facendo clic su “Inizia subito la tua prova gratuita” accetti l’elaborazione dei tuoi dati personali in base all’informativa sulla privacy.
  •  
  • Grazie per lo scaricamento!
  • Il tuo scaricamento dovrebbe iniziare automaticamente tra 15 secondi. Altrimenti, fai clic qui per scaricare manualmente.