BETA
Aby się zalogować, najpiew wybierz portal.
Aby się zarejestrować, najpiew wybierz portal.
Podaj słowa kluczowe
Słowa kluczowe muszą mieć co najmniej 3 sąsiadujące znaki alfanumeryczne
Pole zawiera niedozwolone znaki
an44
an44
75 pkt.
Poczatkujacy

 
0


Witam,
Co muszę ustawić, aby mieć w logach informację o zmianach w AD, tzn. kto i kiedy dodał/skasował/zmodyfikował grupę/użytkownika itd - no i jeśli zmodyfikował to co zmienił.
ps. domena Windows 2003/
Z góry dzięki za info.
--
Pozdrawiam
Andrzej

tagi: domena   Windows





kosmacz
kosmacz
214 pkt.
Junior
 
0


a próbowałeś w ustawieniach zabezpieczeń kontenerów? Tam chyba w zaawansowanych opcjach powinien być audyt tak jak w systemie plików. Włącz sobie tylko rozszerzony widok w AD.

Tomasz Onyszko VIP
Tomasz Onyszko
8031 pkt.
Guru
MVP
 
0


Jezeli chodzi o wbudwane mozliwosci AD to poczytaj tutaj:
http://blogs.dirteam.com/blogs/tomek/archive/2006/09/21/Auditing-directory-changes-aka-_2600_quot_3B00_Who-deleted-this-object_3F002600_quot_3B00_.aspx

Sorki, ze po angielsku ale cos mi polski blog nie dziala w tej chwili, na www.w2k.pl znajdziesz polska wersje tego.

Jezeli chodzi o to jakie wartosci ktos zmienil to niestety ... nie da sie przynajmniej teraz tego zrobic - wbudowane bedzie w LH dopiero. Sa rozwiazania firm trzecich - zajrzyj na www.netpro.com --
Tomasz Onyszko
http://www.w2k.pl/

Tomasz Onyszko

memberOf Predica Team http://blog.predica.pl

Blog: http://www.w2k.pl/

 

Michał Grzegorzewski
Michał Grzegorzewski
487 pkt.
Junior
 
0


Jest jeszcze Insight for Active Directory z pakietu Winternals Administrator's Pack czy jakos tak. Cena: "Administrative User Pricing for Europe: Administrator's Pak User License - $ 1410.00 usd", ciagle mozna zamowic, choc nie wiadomo co sie bedzie dzialo z tym w przyszlosci - w koncu winternalsi sa teraz Microsoftu.
Tak z drugiej strony - o ile sie nie myle, to kazde z tych narzedzi dziala na zasadzie analizatora ruchu po ldap. Co jest dla mnie dziwne, to to, ze AD nie publikuje zadnych eventow, ktore (chocby po WMI) mozna by jakos zasubskrybowac, albo czegos na zasadzie api w stylu GetDirectoryChangesW. A moze sie myle?

Tomasz Onyszko VIP
Tomasz Onyszko
8031 pkt.
Guru
MVP
 
0


A kto ci powiedzial ze nie :). Jest cos takiego jak dirSynch czyli daj mi ostatnie zmiany od ... teraz napisz sobie tylko cos co ci bedzie te zmiany analizowalo itp - zeby zapisac jeszcze kto i co zrobil to trzeba troche wiecej i to na przyklad robi netPro --
Tomasz Onyszko
http://www.w2k.pl/

Tomasz Onyszko

memberOf Predica Team http://blog.predica.pl

Blog: http://www.w2k.pl/

 

Michał Grzegorzewski
Michał Grzegorzewski
487 pkt.
Junior
 
0


Doskonala wskazowka!!!
Pogrzebalem troche i sie dogrzebalem :)
dirSync + uSNChanged to jest rozwiazanie, ktore srednio jest ciekawe - trzeba co jakis czas sprawdzac, czy cos sie zmienilo. Jednak obok 'polling' jest jeszcze 'Change notification registration', ktore opiera sie na asynchronicznym ldap_search_ext z ustawionym control na LDAP_SERVER_NOTIFICATION_OID_W. Kompletny przyklad jest na stronach MSDN, po drobnych poprawkach w kodzie ladnie sie kompiluje i dziala :))) Chwile potestowalem dla scope ustawionego w searchu na LDAP_SCOPE_SUBTREE i tez jedzie ladnie :)

Microsoft rozpisuje sie troche o narzucie na performance przy searchu asynchronicznym, z drugiej strony porownujac dirSync i uSNChanged zdaje sie, ze ten drugi ma troche wiecej zalet (jak chocby zawezanie obszaru poszukiwania oraz brak wymagania w stosunku do specjalnych przywilejow). IBM w swoim "Active Directory Changelog (v.2) Connector" wykorzystuje wlasnie to drugie rozwiazanie. Nie musi korzystac z 'natychmiastowego' powiadamiania, wiec nie wisi searchem w oczekiwaniu na zmiany - pewnie to i najlepsze rozwiazanie :)

Lukalem tez troche do namespace'u root\directory\LDAP w WMI i mam nadzieje, ze uda sie cos stamtad wydlubac, bo wyglada to dosyc obiecujaco. Nie mam niestety pewnosci, czy cokolwiek stamtad wygrzebie, ale sa pewne wskazowki, jak np. dokument, w ktorym stoi:
"Oprócz tego Active Directory ma bardzo rozbudowany interfejs WMI. Używając tego mechanizmu można tworzyć, przesuwać czy usuwać obiekty. WMI ma także mechanizmy do śledzenia działania Active Directory – można napisać skrypt, który będzie na bieżąco sprawdzał, czy wszystkie elementy Active Directory działają prawidłowo – w tym np. czy prawidłowo działają relacje zaufania pomiędzy domenami. "
Mam nadzieje, ze uda mi sie wydlubac troche informacji, a przy okazji napisac prosty toolek oparty wlasnie na WMI do monitorowania ad. Obawiam sie jednak, ze wiekszosc informacji dostepna bedzie dopiero w 2k3 w ramach root\MicrosoftActiveDirectory (wspomniany trustmon i provider do replikacji) i w w2k trzeba siedziec na 3 wspomnianych metodach.

Tak czy siak nie ma informacji o tym 'kto' wprowadzil zmiane - a netpro ja ma :) Chyba bez audytu nie da rady...

Edytowano 1 raz. Ostatnio 2007-03-28 00:51:08 przez mgrzeg.

Tomasz Onyszko VIP
Tomasz Onyszko
8031 pkt.
Guru
MVP
 
0


Ale oprogramowanie takie jak NetPro instaluje dodatkowo wlasne komponenty na DC. --
Tomasz Onyszko
http://www.w2k.pl/

Tomasz Onyszko

memberOf Predica Team http://blog.predica.pl

Blog: http://www.w2k.pl/

 

Udziel odpowiedzi

pkt.
Treść wpisu:

Zaloguj się lub Zarejestruj się aby wykonać tę czynność.