Auditoria de grupos no Active Directory

Como habilitar e realizar auditoria de grupos no Active Directory

Em continuidade da trajetória Windows Server, hoje aprenderemos a habilitar a auditoria nos grupos do Active Directory.

Tema de extrema importância para se ter rastreabilidade no seu Active Directoy. 

Desde que, a auditoria estiver habilitada, será possível identificar a modificação nos grupos de segurança e/ou distribuição. Esta modificação vai de adicionar e/ou remover usuários, ou até mesmo mudança do nome do grupo.

Aviso importante:

Caso você possuir mais de um Active Directory em sua estrutura, o procedimento deverá ser executado neles também.

Pré-requisito:

Será necessário habilitar a função no prompt de comando, como administrador.

Digite o comando, para habilitar o recurso, conforme o idioma do seu sistema operacional Windows Server.

Servidor em Português:
auditpol /set /subcategory:”Acesso ao Serviço de Diretório” /success:enable

Servidor em Inglês:
auditpol /set /subcategory:”Directory Service Changes” /success:enable

Como realizar a auditoria nos grupos?

Clique no Menu >> Ferramentas Administrativas >> Visualizar de Eventos

Navegue em Visualizador de Eventos >> Logs do Windows >> Segurança

Clique com botão direito, em Segurança e selecione a opção Filtrar Log Atual

Digite a Identificação do Evento 4728, para saber qual usuário foi adicionado no grupo;
Digite a Identificação do Evento 4729, para saber que houve um usuário removido do grupo.

Na aba Geral, será possível identificar as principais informações tais como:

– Qual ação foi realizada;
– Quem foi o executor da ação;
– Qual o objeto foi modificado;
– Data e hora.

Para facilitar e agilizar as próxima auditorias, você pode salvar o Filtro realizado. Veja como fazer:

Navegue em Visualizador de Eventos >> Modos de exibição

Clique com botão direito e selecione a opção Criar Modo de Exibição Personalizado

Na opção “Logs de Eventos”, selecione a opção “Segurança”

Digite as “Identificações do Evento” 4728 e 4729

Save o Filtro criado.

Sempre gosto de deixar na descrição o Autor, Data e Finalidade para rastreabilidade depois.

No vídeo abaixo mostro como habilitar o recurso e realizar a auditoria no Event Viewer.

Procedimento se aplicável em outras versões do Windows Server: 20082016 e 2019

Espero ter ajudado. Deixe seu feedback nos comentários logo abaixo, não esqueça de se inscrever, compartilhe nas redes sociais e fique ligado nas novidades.

Abraços.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

%d blogueiros gostam disto: