Jak wygenerować raport o szczegółach usuniętych obiektów Active Directory
ADAudit Plus » Jak wygenerować raport o szczegółach usuniętych obiektów Active Directory

Jak wygenerować raport o szczegółach usuniętych obiektów Active Directory

Usuwanie obiektów AD należy zazwyczaj do uprawnień administratora, dlatego w przypadku podejrzanego usunięcia najważniejsze to dowiedzieć się, który użytkownik zainicjował zdarzenie. Taki nieupoważniony użytkownik może stanowić ogromne zagrożenie dla bezpieczeństwa sieci, dlatego im szybciej administrator IT go wykryje, tym mniejsza będzie wyrządzona szkoda.

W ramach natywnych narzędzi AD nawet Windows PowerShell nie może samodzielnie produkować tego raportu. Zanim uzyska się tę informację, trzeba zastosować kilka aplikacji. Z kolei ADAudit Plus pozwala pobrać raport w ciągu zaledwie kilku minut. Dzieje się tak, ponieważ ADAudit Plus zawiera różne wstępnie spakowane raporty, które pomagają prowadzić ogólną inspekcję całej sieci. Ponadto poniżej przedstawiono porównanie sposobów na sprawdzenie, który użytkownik usunął obiekt komputera za pomocą Windows PowerShell oraz ADAudit Plus.

Za pomocą Windows PowerShell

W tej metodzie PowerShell stosuje się do tworzenia wykazu usuniętych obiektów, Command Prompt do wyszukiwania dodatkowych informacji o obiekcie i wreszcie Podgląd zdarzeń do lokalizowania zdarzenia i użytkownika, który je zainicjował.
  • Określ odpowiednią domenę.
  • Określ atrybuty, których potrzebujesz w tym raporcie. Dla przykładu nazwa wyróżniająca (DN), liczba dni, które ma objąć zapytanie itd.
  • Wybierz kontroler domeny, dla którego chcesz wygenerować raport.
  • Wpisz kod. Na końcu sekcji dołączono przykładowy kod.
  • Skompiluj skrypt.
  • Wykonaj go w programie Windows PowerShell.
  • Z wykazu usuniętych komputerów wybierz ten, którego informacji szczegółowych potrzebujesz. Skopiuj nazwę wyróżniającą (DN) usuniętego obiektu. DN zostanie użyta do uruchomienia polecenia w Command Prompt, gdzie może być wyświetlane więcej szczegółowych informacji o usuniętym obiekcie.
  • Otwórz Podgląd zdarzeń Active Directory i zastosuj uzyskane dane w poprzednim etapie, aby przefiltrować zdarzenia usuwania w celu zlokalizowania użytkownika, który usunął obiekt komputera.

Here is a sample script:

Get-Adobject -includedeletedobjects -filter{objectclass -eq "computer" -and isdeleted -eq$true}
 Copied
Kliknij, aby skopiować cały skrypt

Na poziomie produktu wyjściowego skopiuj nazwę wyróżniającą konkretnego usuniętego obiektu.
Następnie otwórz Command Prompt i wpisz poniższy komunikat, podając w odpowiednich polach nazwę kontrolera domeny i nazwę wyróżniającą usuniętego obiektu: repadmin /showobjmeta nameofDC „DN of computer object”

Pojawi się informacja o dacie i godzinie usunięcia. Teraz możesz użyć daty do filtrowania zdarzeń w Podglądzie zdarzeń Active Directory, aby dowiedzieć się, który użytkownik usunął obiekt AD.

Za pomocą ADAudit Plus

  • Otwórz ADAudit Plus i przejdź do Raporty > Zarządzanie komputerami > Ostatnio usunięte komputery, aby znaleźć szczegółowy raport.
  • Wybierz odpowiednią domenę i jednostkę organizacyjną, a następnie kliknij przycisk Generuj.
  • Wybierz opcję Eksportuj jako, aby wyeksportować raport w różnych dostępnych formatach (CSV, PDF, HTML, CSVDE i XLSX).

Zrzut ekranu:

powershell-find-who-deleted-ad-object-1

Stosowanie Windows PowerShell do wyszukiwania szczegółowych informacji o usuniętym obiekcie wiąże się z pewnymi ograniczeniami, takimi jak:

  • Skrypt PowerShell można wykonywać tylko na komputerze z rolą Active Directory Domain Services.
  • W tym przypadku w celu uzyskania wymaganych informacji konieczne jest zastosowanie kilku aplikacji.
  • Aby wyeksportować produkt wyjściowy w innym formacie, należy zmodyfikować skrypt.
  • Dodawanie kolejnych filtrów spowoduje zwiększenie złożoności skryptu.

Z kolei na poziomie wstępnie spakowanych raportów ADAudit Plus wystarczy kilka kliknięć, aby uzyskać niezbędne informacje. Dzieje się tak, ponieważ ADAudit Plus zawiera różne wstępnie spakowane raporty, które pomagają prowadzić ogólną inspekcję całej sieci. Ponadto istnieją także raporty spersonalizowane, które można zaprojektować tak, aby odpowiadały na konkretne potrzeby w zakresie bezpieczeństwa.

  • Wykonywanie skryptów PowerShell i uproszczony audyt zmian w AD za pomocą ADAudit Plus.
  •  
  • Przez kliknięcie „Pobierz bezpłatną wersję próbną” akceptujesz licencję użytkownika i polityką prywatności.
  •  
  • Dziękujemy za pobranie!
  • Pobieranie powinno rozpocząć się automatycznie w ciągu 15 sekund. Jeśli nie rozpocznie się automatycznie, kliknij tutaj, aby pobrać ręcznie