Stappen om controle mogelijk te maken met behulp van console Groepsbeleidbeheer (GPMC):
Voer de volgende acties uit op de domeincontroller (DC):
- Klik op Start, zoek naar en open de console Groepsbeleidbeheerof voer de opdrachtregel gpmc.msc uit.
- Klik met de rechtermuisknop op het domein of de organisatie-eenheid (OE) die u wilt controleren en klik op Maak een GPO aan in dit domein en koppel die hier... Als u al een groepsbeleidsobject (GPO) hebt gemaakt, gaat u naar stap 4.
- Geef een naam aan de GPO.
- Klik met de rechtermuisknop op de knop GPO en kies Bewerken.
- Navigeer in het linkerdeelvenster van de Groepsbeleidsbeheer-editor naar Computerconfiguratie > Beleid > Windows instellingen > Beveiligingsinstellingen > Controlebeleid.
- Dubbelklik in het rechterdeelvenster opAanmeldingsgebeurtenissen voor audit accounts en vink de vakjes naast Definieer deze beleidsinstellingen, Geslaagd en Mislukt aan.
- Navigeer naar Computerconfiguratie > Beleid > Windows instellingen > Beveiligingsinstellingen > Geavanceerde configuratie van controlebeleid > Controlebeleid > Accountaanmelding.
- Dubbelklik in het rechterdeelvenster opControleer referentievalidatie en vink de vakjes naast Configureer de volgende controlegebeurtenissen, Geslaagd en Mislukt aan.
- Klik op Toepassen en dan op OK.
- Navigeer naar Computerconfiguratie > Beleid > Windows instellingen > Beveiligingsinstellingen > Geavanceerde configuratie van controlebeleid > Controlebeleid > Accountbeheer > Gebruikersaccountbeheer controlerenen vink de vakjes naast Configureer de volgende controlegebeurtenissen, Geslaagd en Mislukt aan.
- Navigeer naar Computerconfiguratie > Beleid > Windows instellingen > Beveiligingsinstellingen > Geavanceerde configuratie van controlebeleid > Controlebeleid > Accountbeheer > Computeraccountbeheer controleren en vink de vakjes naast Configureer de volgende controlegebeurtenissen, Geslaagden Mislukt aan.
- Navigeer naar Computerconfiguratie > Beleid > Windows instellingen > Beveiligingsinstellingen > Geavanceerde configuratie van controlebeleid > Controlebeleid > DS Access > Wijzigingen in adreslijstservice van controle en vink de vakjes naast Configureer de volgende controlegebeurtenissen, Geslaagd en Mislukt aan.
- Ga terug naar de console Groepsbeleidbeheer, klik in het linkerdeelvenster met de rechtermuisknop op de beoogde OE waaraan de GPO is gekoppeld en klik op Groepsbeleid updaten... Deze stap zorgt ervoor dat de nieuwe instellingen voor groepsbeleid direct worden toegepast in plaats van te wachten op de volgende geplande vernieuwing.
Stappen om deze gebeurtenissen weer te geven met Logboeken
Zodra de bovenstaande stappen zijn voltooid, worden gebeurtenissen opgeslagen in het gebeurtenislogboek. Deze kunnen worden bekeken in Logboeken. U moet echter eerst uitzoeken welke gebruikers beheerdersrechten hebben. Voer de volgende acties uit op een domeincontroller (DC):
- Druk op Start en zoek vervolgens naar en open Active Directory console voor gebruikers en computers.
- Navigeer naar de organisatie-eenheid,<Domain name="">Domeinnaam > Gebruikers en dubbelklik op de groep met het label Domeinbeheerders.Ga naar het tabblad leden. Hier vindt u een lijst van gebruikers met beheerdersrechten.
- Klik op Start, zoek naar Logboeken en klik om het te openen.
- Klik in het linkerdeelvenster met de rechtermuisknop op Aangepaste weergaven en selecteer Aangepaste weergave maken...
- Schakel in het scherm Aangepaste weergave maken over naar de XML tab en vink het vakje naast Query handmatig bewerken aan en klik op Ja in het pop-up dialoogvenster met de waarschuwing.
- Voer in het queryveld de volgende query in:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='SubjectUserName'] and(Data='<username>')]]
</Select>
</Query>
</QueryList>
*vervang <username> door de gewenste gebruikersnaam van de beheerder.
- Klik op OK en geef een naam aan de Aangepaste weergave. U kunt nu via Aangepaste weergaven een lijst met gebeurtenis-ID's zien die betrekking hebben op acties die zijn uitgevoerd door het beheerdersaccount.
De bovenstaande methode is onrealistisch als u te maken hebt met talloze beheerders en duizenden gebeurtenissen. Beheerders moeten elke gebeurtenis handmatig opzoeken om de details ervan te bekijken.
ADAudit Plus, een uitgebreid AD-controle hulpprogramma, helpt u bij het controleren van alle wijzigingen in uw Active Directory, inclusief de wijzigingen die worden uitgevoerd door beheerdersaccounts.
Stappen om gebruikersactiviteiten van beheerders te controleren met behulp van ManageEngine ADAudit Plus
- Download en installeer ADAudit Plus.
- Vind hier de stappen voor het configureren van controle op uw domeincontroller.
- Open de console en log in als een beheerder.
- Navigeer naar Rapporten > Accountbeheer > Administratieve gebruikersacties
Voordelen van het gebruik van ADAudit Plus ten opzichte van systeemeigen audit:
- Ontvang op één plaats rapporten over wijzigingen in alle AD-objecten door beheerdersaccounts en ontvang rapporten over wijzigingen die door andere gebruikers zijn aangebracht.
- Bekijk kant-en-klare rapporten voor wijzigingen in uw Azure AD en ontvang realtime waarschuwingen voor kritieke gebeurtenissen.
- Ontvang een melding bij detectie van onregelmatig gebruikersgedrag. ADAudit Plus maakt gebruik van analyse van gebruikersgedrag (UBA) om een basislijn van normale gebruikersactiviteit te creëren en waarschuwt u wanneer een gebruiker van dat gedrag afwijkt. Bijvoorbeeld een ongewoon groot aantal inlogpogingen, inloggen die op ongebruikelijke tijdstippen plaatsvinden of de eerste keer dat een gebruiker op afstand toegang krijgt tot een host.
