Departemen keamanan informasi telah menetapkan tugas untuk mengembangkan sistem audit yang paling sederhana, yaitu mengunggah statistik harian tentang akun Active Directory yang dibuat dalam 24 jam terakhir, serta informasi tentang siapa yang membuat akun ini dalam domain..
Konten:
- Skrip Powershell untuk mendapatkan daftar pengguna yang baru dibuat di Active Directory
- Cara mengetahui siapa yang membuat akun di Active Directory
Skrip Powershell untuk mendapatkan daftar pengguna yang baru dibuat di Active Directory
Untuk daftar pengguna yang dibuat di Active Directory dalam 24 jam terakhir, cara termudah adalah dengan menggunakan cmdlet PowerShell Dapatkan-aduser. Output dari cmdlet akan disaring berdasarkan atribut pengguna kapan saja, yang menyimpan tanggal dan waktu akun itu dibuat. Saya mendapatkan skrip PowerShell yang sangat sederhana:
$ lastday = ((Get-Date) .AddDays (-1))
$ filename = Get-Date -Format yyyy.MM.dd
$ exportcsv = "c: \ ps \ new_ad_users_" + $ filename + ".csv"
Dapatkan-ADUser -filter (whencreated -ge $ lastday) | Export-csv -path $ exportcsv
Dalam contoh ini, daftar akun AD disimpan ke file dengan tanggal saat ini sebagai namanya. Dengan menggunakan penjadwal, Anda dapat mengonfigurasi peluncuran skrip ini setiap hari, sebagai akibatnya file mana yang berisi informasi tentang tanggal pembuatan akun tertentu akan diakumulasikan dalam direktori yang ditentukan. Anda dapat menambahkan atribut pengguna lain dari Direktori Aktif ke laporan (lihat artikel tentang menggunakan Get-ADUser).
Cara mengetahui siapa yang membuat akun di Active Directory
Selain fakta membuat akun, penjaga keamanan mungkin tertarik pada informasi tentang nama pengguna tertentu yang telah membuat akun tertentu di Direktori Aktif. Informasi ini dapat diperoleh dari log keamanan pengontrol domain direktori aktif..
Saat memasukkan pengguna baru di log keamanan pengontrol domain (hanya itu DC tempat akun itu dibuat) suatu acara muncul dengan kode EvenId 4720 (DC harus mengaktifkan kebijakan manajemen akun Audit dalam Kebijakan Pengontrol Domain Default).
Deskripsi acara ini berisi baris Akun pengguna dibuat, dan kemudian akun tempat akun pengguna baru AD dibuat (disorot pada tangkapan layar di bawah).
Skrip untuk mengunduh semua acara pembuatan akun dari log pengontrol domain selama 24 jam terakhir mungkin terlihat seperti ini:
$ time = (get-date) - (new-timespan -jam 24)
$ filename = Get-Date -Format yyyy.MM.dd
$ exportcsv = "c: \ ps \ ad_users_creators" + $ filename + ".csv"
Get-WinEvent -FilterHashtable @ LogName = "Security"; ID = 4720; StartTime = $ Time | Foreach
$ event = [xml] $ _. ToXml ()
if ($ event)
$ Time = Get-Date $ _. TimeCreated -UFormat "% Y-% m-% d% H:% M:% S"
$ CreatorUser = $ event.Event.EventData.Data [4]. "# Teks"
$ NewUser = $ event.Event.EventData.Data [0]. "# Teks"
$ dc = $ event.Event.System.computer
$ dc + “|” + $ Waktu + “|” + $ Pengguna Baru + "|" + $ CreatorUser | keluar file $ exportcsv -append
Dengan analogi dengan artikel "Sistem audit sederhana untuk menghapus file dan folder untuk Windows Server", Anda dapat mengkonfigurasi informasi tentang peristiwa yang ditemukan bukan menjadi file teks pada setiap DC, tetapi melalui MySQL .NET Connector untuk PowerShell, satu database MySQL..
