Auditoria de grupos no Active Directory
Como habilitar e realizar auditoria de grupos no Active Directory
Em continuidade da trajetória Windows Server, hoje aprenderemos a habilitar a auditoria nos grupos do Active Directory.
Tema de extrema importância para se ter rastreabilidade no seu Active Directoy.
Desde que, a auditoria estiver habilitada, será possível identificar a modificação nos grupos de segurança e/ou distribuição. Esta modificação vai de adicionar e/ou remover usuários, ou até mesmo mudança do nome do grupo.
Aviso importante:
Caso você possuir mais de um Active Directory em sua estrutura, o procedimento deverá ser executado neles também.
Pré-requisito:
Será necessário habilitar a função no prompt de comando, como administrador.
Digite o comando, para habilitar o recurso, conforme o idioma do seu sistema operacional Windows Server.
Servidor em português:
auditpol /set /subcategory:”Acesso ao Serviço de Diretório” /success:enable
Servidor em inglês:
auditpol /set /subcategory:”Directory Service Changes” /success:enable
Procedimento Técnico
Clique no Menu >> Ferramentas Administrativas >> Visualizar de Eventos
Navegue em Visualizador de Eventos >> Logs do Windows >> Segurança
Clique com botão direito, em Segurança e selecione a opção Filtrar Log Atual
Digite a Identificação do Evento 4728, para saber qual usuário foi adicionado no grupo;
Digite a Identificação do Evento 4729, para saber que houve um usuário removido do grupo.
Na aba Geral, será possível identificar as principais informações tais como:
– Qual ação foi realizada;
– Quem foi o executor da ação;
– Qual o objeto foi modificado;
– Data e hora.
Para facilitar e agilizar as próxima auditorias, você pode salvar o Filtro realizado. Veja como fazer:
Navegue em Visualizador de Eventos >> Modos de exibição
Clique com botão direito e selecione a opção Criar Modo de Exibição Personalizado
Na opção “Logs de Eventos”, selecione a opção “Segurança”
Digite as “Identificações do Evento” 4728 e 4729
Save o Filtro criado.
Sempre gosto de deixar na descrição o Autor, Data e Finalidade para rastreabilidade depois.
No vídeo abaixo mostro como habilitar o recurso e realizar a auditoria no Event Viewer.
Procedimento aplicável em outras versões do Windows Server: 2008, 2016 e 2019
Despedida e agradecimentos
Espero ter ajudado. Deixe seu feedback nos comentários logo abaixo, não esqueça de se inscrever, compartilhe nas redes sociais e fique ligado nas novidades.
Inscreva-se na lista VIP e receba conteúdos exclusivos
Abraços.