Hur man genererar en rapport om detaljer över borttagna Active Directory-objekt
Borttagning av AD-objekt omfattas i allmänhet av administratörsprivilegier och vid misstänkt borttagning blir det därför viktigt att hitta den användare som initierade händelsen. En sådan obehörig användare kan skapa en enorm risk för nätverkets säkerhet och ju tidigare en IT-administratör kan upptäcka en sådan användare, desto mindre blir skadan.
På inbyggd AD kan inte ens Windows PowerShell på egen hand ta fram denna rapport. Istället måste man använda flera program innan man kan få fram denna information. Däremot kommer ADAudit Plus att hämta din rapport på bara några få minuter. Detta beror på att ADAudit Plus har flera förpaketerade rapporter som hjälper dig att genomföra en allmän granskning av hela nätverket. Utöver detta följer här en jämförelse om hur man hittar en användare som tog bort ett datorobjekt med hjälp av Windows PowerShell och ADAudit Plus.
Med hjälp av Windows PowerShell
- Identifiera den relevanta domänen.
- Bestäm vilka attribut du behöver i rapporten. Till exempel, det Unika namnet (DN), antalet dagar som du vill täcka i frågan och så vidare.
- Välj domänkontrollanten som du behöver för att generera rapporten.
- Skriv koden. En exempelkod har lagts i slutet av detta avsnitt.
- Kompilera skriptet.
- Kör den i Windows PowerShell.
- Från listan över borttagna datorer väljer du den du behöver detaljer för. Kopiera det Unika namnet (DN) på det borttagna objektet. DN kommer att användas för att köra ett kommando i kommandotolken, vilken kan visa fler detaljer om det borttagna objektet.
- Öppna loggboken i Active Directory och använd data som erhållits från det föregående steget för att filtrera fram borttagningshändelser för att hitta användare som tog bort datorobjektet.
Här är ett exempelskript:
Get-Adobject -includedeletedobjects -filter{objectclass -eq "computer" -and isdeleted -eq$true}Från utmatningen kopierar du DN för det specifika raderade objektet.
Öppna sedan Kommandotolken och skriv följande genom att infoga namnet på din DC och DN för det borttagna objektet i lämpliga utrymmen — repadmin /showobjmeta nameofDC "DN för datorobjekt"
Detta kommer att ge dig datumet och tidpunkten för borttagningen. Du kan också använda datum för att filtrera händelserna i loggboken i Active Directory för att upptäcka användaren som tog bort AD-objektet.
Använda ADAudit Plus
- Öppna ADAudit Plus och gå till Rapporter> Datorhantering> Nyligen borttagna datorer för att hitta en detaljerad rapport.
- Välj en relevant domän och OU och klicka på Generera.
- Välj Exportera för att exportera rapporten i olika tillgängliga format (CSV, PDF, HTML, CSVDE och XLSX).
Skärmbild:
Det finns flera begränsningar vid användning av Windows PowerShell för att hitta detaljerna om ett borttaget objekt som t.ex. det nedanstående:
- PowerShell-skript kan endast köras från en dator som inkluderar rollen Domäntjänster i Active Directory.
- I detta fall blir det nödvändigt att använda flera program för att få fram de data som krävs.
- Skriptet måste modifieras för att exportera utdata i ett annat format.
- Att använda fler filter kommer att öka komplexiteten i skriptet.
Däremot tillhandahåller förpaketerade rapporter i ADAudit Plus den nödvändiga informationen med bara några få klick. Detta beror på att ADAudit Plus har flera förpaketerade rapporter som hjälper dig att genomföra en allmän granskning av hela nätverket. Utöver detta finns det också anpassade rapporter som kan utformas till att passa dina specifika säkerhetsbehov.
Relaterade resurser
Inloggning och utloggning
- Hur man får den aktuella inloggade användaren på PowerShell
- Så här hittar du vilken dator en användare är inloggad på
- Hur man på distans kan se vilka användare som är inloggade i Windows
- Så här får du den aktuella inloggade användaren
- Hur man får användarinloggningshistorik med PowerShell
- Hämta inloggningar för Terminal Server
- Få en granskningsrapport om inloggnings- och utloggningsaktiviteter för AD-användarkonton
- Hur man får misslyckade inloggningsförsök med hjälp av powershell
- Hämta-rdusersession
- Hur man får den senast inloggade användarens fjärrdator med powershell
- Hur man hittar datorn som en användare loggade in på med hjälp av powershell
- Hur man får den senaste inloggningen av användaren med powershell
- Så här distribuerar du fjärrskrivbordstjänster med hjälp av Powershell
Spärrade konton
Händelseloggar för Windows
Granskning av filserver
- Så här övervakar du en Windows-mapp efter nya filer
- Hur man övervakar mappen för ändringar med hjälp av powershell
- Så här kontrollerar du mappbehörigheter med hjälp av powershell
- Powershell Filesystemwatcher - Spåra ändringar i filer och mappar
- NTFSSäkerhetsmodul powershell
- Hämta-filintegritet
- Hur man granskar failover-kluster med hjälp av powershell
- Hur man får filskapningsdatum med hjälp av powershell
- Hur man får den senast ändrade filen i katalogen med hjälp av powershell
- Powershell-skript för att hitta filer efter ägare
Granskning av Active Directory
- Hur man hittar vem som skapade ett AD-konto med hjälp av powershell
- Hur man granskar Active Directory med hjälp av powershell
- Hämta Active Directory-rapporter med hjälp av powershell
- Hur man hittar vem som raderade ett AD-objekt med hjälp av powershell
- Hur man kontrollerar Active Directory-hälsan med hjälp av powershell
- Hur man får privilegierat konto med hjälp av powershell
- Hämta GPO-rapporter utan powershell
- Hur man granskar LAPS-lösenord med hjälp av powershell
- Hur man får adfs-egenskaper med hjälp av powershell -ADAudit Plus
- Hur man granskar ändringar i Active Directory med hjälp av Powershell
- Hur man övervakar realtidsprocessen med hjälp av powershell
Azure AD
Server auditing
Computer start-ups and shut-downs