Så här spårar du ändringar i grupprinciper

Ladda ner GRATIS30 dagars kostnadsfri provperiod med full funktionalitet

  • Med inbyggd AD-granskning

  • Med ADAudit Plus

  • Använda ADAudit Plus för att granska ändringar i grupprinciper

  • Logga in på webbkonsolen för ADAudit Plus

  • Gå till Rapporter -> Ändringar i GPO-inställningar

  • Du kommer att se flera färdiga rapporter som spårar ändringar i grupprinciper i realtid. Du har t.ex. rapporten Ändringar i grupprincipinställningar.

    how-to-track-group-policy-changes-5

    • I den här rapporten kan du få information om namnet på det GPO som ändrades, tidpunkten för ändringen och vem som utförde ändringen. Du kan också få detaljerad information genom att klicka på Visa detaljer under Sammanfattning.

Det är viktigt att IT-administratörer granskar alla ändringar i grupprincipen eftersom den styr arbetsmiljön för alla Active Directory-objekt (AD), inklusive användare och datorer. Grupprincipen definierar hur olika system, användare och andra AD-objekt ska interagera med varandra. En samling grupprincipkonfigurationer som ställts in av en IT-administratör kallas för ett grupprincipobjekt (GPO).

Angripare som vill äventyra en AD-miljö kan komma att rikta in sig på GPO:er och göra skadliga ändringar. Genom att granska ändringar i GPO:er kan en administratör få reda på exakt vilken ändring som gjordes, när den gjordes, vem som gjorde ändringen och var ändringen gjordes. Detta stärker säkerheten i AD-miljön och gör det även möjligt för administratören att återställa obehöriga ändringar.

Om du vill granska ändringar i grupprincipen måste IT-administratörer först aktivera granskning av DS-objekt, grupprincipbehållarobjekt och SYSVOL-mappen.

  • Så här aktiverar du granskning av DS-objekt

  • Starta Serverhanteraren i operativsystemet Windows Server.

  • Gå till Verktyg -> Grupprinciphantering.

  • Gå till Domäner -> Domänkontrollanter.

  • Gör en av två saker:

    1. Högerklicka på Standardprincip för domänkontrollanter och klicka sedan på Redigera för att öppna Redigeraren för grupprinciphantering, eller
    2. Skapa en ny GPO.

  • Gå till Datorkonfiguration -> Principer -> Windows-inställningar -> Säkerhetsinställningar -> Avancerad konfiguration av granskningsprinciper -> Granskningsprinciper -> DS-åtkomst.

  • Aktivera granskning för både ”lyckad” och ”misslyckad” för var och en av Granskning av detaljerad katalogtjänstreplikering, Granskning av katalogtjänståtkomst, Granskning av katalogtjänständringar och Granskning av katalogtjänstreplikering.

  • Gå nu till Avancerad konfiguration av granskningsprinciper -> Granskningsprincip -> Objektåtkomst.

  • Aktivera granskning av både ”lyckad” och ”misslyckad” för alla 14 underkategorier av händelsetyper.

  • Så här aktiverar du granskning av grupprincipbehållarobjekt i Active Directory

  • Gå till Serverhanteraren -> Verktyg -> ADSI-redigering.

  • Högerklicka på ADSI-redigering i den vänstra rutan och välj ”Anslut till” för att öppna anslutningsinställningarna. Du kommer att se att sökvägen pekar på din domänkontrollant.

    how-to-track-group-policy-changes-1

  • Tryck på OK för att ansluta.

  • Öppna Standard namnkontext.

  • Gå till DC = Domän -> DC = com -> CN=System -> CN=Principer.

  • Högerklicka på CN=Principer och gå till Egenskaper.

  • Gå till Säkerhet -> Avancerat -> Granskning -> Lägg till.

  • I guiden Granskningsinmatning för principer väljer du Alla som huvudprincip.

    how-to-track-group-policy-changes-2

  • Typen ska vara ”Lyckad” och Gäller för ska vara ”Det här objektet och alla underordnade objekt.”

  • Under Behörigheter väljer du alla poster för vilka åtgärder ska granskas. Du kanske vill granska åtminstone ”Skapa grupprincipbehållarobjekt”, ”Ta bort”, ”Ändra behörigheter” och ”Skriva versionsnummer”.

  • Klicka på OK.

  • Så här aktiverar du granskning av SYSVOL-mappen

  • Gå till din SYSVOL-mapp som vanligtvis finns på C:\Windows\SYSVOL.

  • Högerklicka på mappen SYSVOL och gå till Egenskaper.

  • Gå till Säkerhet -> Avancerat för att öppna de avancerade säkerhetsinställningarna för SYSVOL-mappen.

  • Klicka på fliken Granskning och klicka sedan på Lägg till.

  • Under Huvudprincip, välj ”Alla” för att aktivera granskning av ändringar som görs av alla i din AD.

    how-to-track-group-policy-changes-3

  • Välj dina granskningsposter.

  • Tryck på OK.

    • Det finns två sätt att granska GPO:er:

    1) Använda inbyggda verktyg som Loggboken, och 2) Använda en omfattande AD-granskningslösning som ADAudit Plus. I den här artikeln jämför vi de båda metoderna.

  • Använda inbyggda granskningsverktyg (Loggboken)

  • Gå till Start-menyn -> Kontrollpanelen -> Administrativa verktyg -> Loggboken.

  • Filtrera händelserna efter händelse-ID 5136 eftersom detta visar en lista över grupprincipändringar, värdeändringar och ändringar av GPO-länkar.

    • Här är ett exempel på en skärmdump av en sökning efter händelse-ID 5136:

  • how-to-track-group-policy-changes-4

    • Det finns flera nackdelar med att använda Loggboken för att granska ändringar i grupprincipobjekt:

  • Den är inte lätt att använda, eftersom informationen finns utspridd i olika loggar. Administratören måste därför titta på flera loggar för att få en fullständig bild av vad som hänt.

  • Det finns inga tabellrapporter eller diagram i Loggboken som IT-administratören kan använda. Detta gör det svårt att visualisera informationen.

  • Administratören måste gå igenom loggar manuellt, föra anteckningar och lägga ner mycket arbete på att analysera vilket GPO som ändrades, vem som ändrade det, när de ändrade det och var de ändrade det.

    • Det är alltid bättre att använda en omfattande AD-granskningslösning som ADAudit Plus för att granska alla GPO-ändringar. Detta är ett viktigt steg för att skydda organisationens AD.

Börjar inbyggd granskning bli lite för mycket?

Förenkla granskning av och rapportering i Active Directory med ADAudit Plus.

Få din kostnadsfria provperiod30 dagars provperiod med full funktionalitet
ADAudit Plus