L’eliminazione degli oggetti AD è generalmente confinata ai privilegi degli amministratori, perciò, in caso di un’eliminazione sospetta, diventa cruciale individuare l’utente che ha inizializzato tale evento. Un simile utente non autorizzato può rappresentare un terribile rischio per la sicurezza della rete e, prima l’amministratore IT è in grado di rintraccialo, minori saranno i danni.
Restando nell'ambiente nativo di AD, persino Windows PowerShell non è in grado di produrre questo genere di report senza assistenza. È necessario utilizzare varie applicazioni prima di poter ottenere l’informazione ricercata. ADAudit Plus, d’altro canto, produrrà il report soltanto in pochi minuti. Ciò è possibile perché ADAudit Plus è equipaggiato con numerosi report preconfezionati che aiutano ad effettuare un audit generale dell’intera rete. Ecco un confronto tra le procedure per trovare l’utente che ha eliminato un oggetto AD tramite Windows PowerShell e ADAudit Plus.
Get-Adobject -includedeletedobjects -filter{objectclass -eq "computer" -and isdeleted -eq$true}
Dal risultato così ottenuto, copiare il DN dello specifico oggetto eliminato.
Quindi, aprire il prompt dei comandi e digitare la seguente stringa inserendo il nome del proprio controller di dominio e il nome distinto (DN) dell’oggetto eliminato negli spazi appropriati: “repadmin /showobjmeta nameofDC” e "DN of computer object”
Ciò fornirà la data e l’ora dell’eliminazione. Ora è possibile usare la date per filtrare gli eventi nel visualizzatore eventi di Active Directory e scoprire chi è l’utente che ha eliminato l’oggetto AD.
Screenshot:
Sono presenti numerose limitazioni nell’uso di Windows PowerShell per trovare i dettagli di un oggetto eliminato, come quelle elencate di seguito:
D'altro canto, i report preconfezionati di ADAudit Plus forniscono le informazioni necessarie soltanto con pochi clic. Ciò è possibile perché ADAudit Plus è equipaggiato con numerosi report preconfezionati che aiutano ad effettuare un audit generale dell’intera rete. Oltre a ciò, è possibile progettare dei report personalizzati in grado di adattarsi alle proprie esigenze di sicurezza.