Usuwanie obiektów AD należy zazwyczaj do uprawnień administratora, dlatego w przypadku podejrzanego usunięcia najważniejsze to dowiedzieć się, który użytkownik zainicjował zdarzenie. Taki nieupoważniony użytkownik może stanowić ogromne zagrożenie dla bezpieczeństwa sieci, dlatego im szybciej administrator IT go wykryje, tym mniejsza będzie wyrządzona szkoda.
W ramach natywnych narzędzi AD nawet Windows PowerShell nie może samodzielnie produkować tego raportu. Zanim uzyska się tę informację, trzeba zastosować kilka aplikacji. Z kolei ADAudit Plus pozwala pobrać raport w ciągu zaledwie kilku minut. Dzieje się tak, ponieważ ADAudit Plus zawiera różne wstępnie spakowane raporty, które pomagają prowadzić ogólną inspekcję całej sieci. Ponadto poniżej przedstawiono porównanie sposobów na sprawdzenie, który użytkownik usunął obiekt komputera za pomocą Windows PowerShell oraz ADAudit Plus.
Get-Adobject -includedeletedobjects -filter{objectclass -eq "computer" -and isdeleted -eq$true}
Na poziomie produktu wyjściowego skopiuj nazwę wyróżniającą konkretnego usuniętego obiektu.
Następnie otwórz Command Prompt i wpisz poniższy komunikat, podając w odpowiednich polach nazwę kontrolera domeny i nazwę wyróżniającą usuniętego obiektu: repadmin /showobjmeta nameofDC „DN of computer object”
Pojawi się informacja o dacie i godzinie usunięcia. Teraz możesz użyć daty do filtrowania zdarzeń w Podglądzie zdarzeń Active Directory, aby dowiedzieć się, który użytkownik usunął obiekt AD.
Zrzut ekranu:
Stosowanie Windows PowerShell do wyszukiwania szczegółowych informacji o usuniętym obiekcie wiąże się z pewnymi ograniczeniami, takimi jak:
Z kolei na poziomie wstępnie spakowanych raportów ADAudit Plus wystarczy kilka kliknięć, aby uzyskać niezbędne informacje. Dzieje się tak, ponieważ ADAudit Plus zawiera różne wstępnie spakowane raporty, które pomagają prowadzić ogólną inspekcję całej sieci. Ponadto istnieją także raporty spersonalizowane, które można zaprojektować tak, aby odpowiadały na konkretne potrzeby w zakresie bezpieczeństwa.