Načítání seznamu účtů AD vytvořených za posledních 24 hodin

Oddělení informační bezpečnosti stanovilo úkol vyvinout nejjednodušší systém auditu, kterým je každodenní odesílání statistik o účtech Active Directory vytvořených za posledních 24 hodin, jakož i informace o tom, kdo tyto účty vytvořil v doméně..

Obsah:

  • Skript Powershell k získání seznamu nedávno vytvořených uživatelů ve službě Active Directory
  • Jak zjistit, kdo vytvořil účet ve službě Active Directory

Skript Powershell k získání seznamu nedávno vytvořených uživatelů ve službě Active Directory

Pro seznam uživatelů vytvořených ve službě Active Directory za posledních 24 hodin je nejjednodušší použít cmdlet PowerShell Zkoušejte.  Výstup rutiny cmdlet bude filtrován podle atributu uživatele když byl vytvořen, který ukládá datum a čas vytvoření účtu. Dostanu takový jednoduchý skript PowerShell:

$ lastday = ((Get-Date) .AddDays (-1))
$ filename = Get-Date -Format yyyy.MM.dd
$ exportcsv = ”c: \ ps \ new_ad_users_” + $ filename + “.csv”
Get-ADUser -filter (při vytvoření -ge $ minulý den) | Export-csv-cesta $ exportcsv

V tomto příkladu je seznam účtů AD uložen do souboru s aktuálním datem jako jménem. Pomocí plánovače můžete nakonfigurovat každodenní spouštění tohoto skriptu, v důsledku čehož se v zadaném adresáři budou hromadit soubory obsahující informace o datu vytvoření konkrétního účtu. Do sestavy můžete přidat další uživatelské atributy z Active Directory (viz článek o použití Get-ADUser).

Jak zjistit, kdo vytvořil účet ve službě Active Directory

Kromě skutečnosti, že jste vytvořili účet, mohou mít strážci zájem o informace o jménu konkrétního uživatele, který si vytvořil konkrétní účet ve službě Active Directory. Tyto informace lze získat z protokolů zabezpečení řadiče domény Active Directory..

Při zadávání nového uživatele do protokolu zabezpečení řadiče domény (jen to DC, na které byl účet vytvořen) se objeví událost s kódem EvenId 4720 (DC musí mít ve výchozích zásadách řadiče domény povoleno zásady správy účtů auditu).

Popis této události obsahuje řádek Byl vytvořen uživatelský účet a poté účet, ze kterého byl vytvořen nový uživatelský účet AD (zvýrazněno na obrázku níže).

Skript pro stahování všech událostí vytvoření účtu z protokolu řadiče domény za posledních 24 hodin může vypadat takto:

$ time = (get-date) - (new-timespan -h 24)
$ filename = Get-Date -Format yyyy.MM.dd
$ exportcsv = ”c: \ ps \ ad_users_creators” + $ filename + “.csv”
Get-WinEvent -FilterHashtable @ LogName = "Security"; ID = 4720; StartTime = $ Time | Foreach
$ event = [xml] $ _. ToXml ()
if ($ event)

$ Time = Get-Date $ _. TimeCreated -UFormat "% Y-% m-% d% H:% M:% S"
$ CreatorUser = $ event.Event.EventData.Data [4]. "# Text"
$ NewUser = $ event.Event.EventData.Data [0]. "# Text"
$ dc = $ event.Event.System.computer
$ dc + „|“ + $ Čas + „|“ + $ NewUser + „|“ + $ CreatorUser | outex file $ exportcsv -append

Analogicky s článkem „Jednoduchý kontrolní systém pro mazání souborů a složek pro Windows Server“ můžete konfigurovat informace o událostech, které nebyly nalezeny jako textový soubor na každém DC, ale přes MySQL .NET Connector pro PowerShell jednu databázi MySQL..