5
Logfile zu gelöschten Objekten im AD
Hallo zusammen,
wir sind auf das Problem gestoßen, dass ein kürzlich erstellter Benutzer nach etwa 6 Stunden automatisch gelöscht wurde. Da wir nur zu zweit im IT-Team sind, sind wir sicher, dass wir nicht dafür verantwortlich sind. Nun fragen wir uns, ob das Active Directory überhaupt solche Vorfälle protokolliert und falls nicht, wie wir dies künftig protokollieren können.
Im Internet finde ich viele Beiträge dazu, aber sie sind ziemlich veraltet. Wir nutzen einen herkömmlichen Windows Server 2019.
Muss man eine bestimmte Rolle aktivieren, um so etwas zu überwachen? Welche Best Practices gibt es dafür?
Viele Grüße,
Max93
wir sind auf das Problem gestoßen, dass ein kürzlich erstellter Benutzer nach etwa 6 Stunden automatisch gelöscht wurde. Da wir nur zu zweit im IT-Team sind, sind wir sicher, dass wir nicht dafür verantwortlich sind. Nun fragen wir uns, ob das Active Directory überhaupt solche Vorfälle protokolliert und falls nicht, wie wir dies künftig protokollieren können.
Im Internet finde ich viele Beiträge dazu, aber sie sind ziemlich veraltet. Wir nutzen einen herkömmlichen Windows Server 2019.
Muss man eine bestimmte Rolle aktivieren, um so etwas zu überwachen? Welche Best Practices gibt es dafür?
Viele Grüße,
Max93
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 21650132218
Url: https://administrator.de/contentid/21650132218
Printed on: April 27, 2024 at 07:04 o'clock
5 Comments
Latest comment
Moin,
Wenn das wirklich so ist, dann habt Ihr ein ganz anderes Problem als fehlende Logs. Im AD werden keine User "automatisch gelöscht". Allenfalls werden sie automatisch deaktiviert, wenn das Konto mit einem Verfallsdatum versehen wurde. Aber gelöscht werden sie nur, wenn ein Admin das tut. Es gibt m. E. nur zwei Methoden, um das "automatisch" zu löschen. Man bastelt sich ein Skript, dass regelmäßig nach deaktivierten Konten sucht und diese nach bestimmten Kriterien automatisch löscht. Aber auch das ist: "Der Admin hat's gemacht." Oder der Admin weiß nicht, dass das Löschen im Exchange auch gleich den ganzen User mit in die Tonne tritt.
Wenn es also wirklich so war, dass der User ohne Euer Zutun nach sechs Stunden verschwunden ist, dann solltet Ihr dringend schauen, wer denn da noch administrativen Zugriff auf Euer AD hat.
Zum Thema selbst hat ja @tagol01 schon einen Beitrag gepostet, der alles notwendige enthält.
Liebe Grüße
Erik
Zitat von @MadMax93:
Hallo zusammen,
wir sind auf das Problem gestoßen, dass ein kürzlich erstellter Benutzer nach etwa 6 Stunden automatisch gelöscht wurde. Da wir nur zu zweit im IT-Team sind, sind wir sicher, dass wir nicht dafür verantwortlich sind.
Hallo zusammen,
wir sind auf das Problem gestoßen, dass ein kürzlich erstellter Benutzer nach etwa 6 Stunden automatisch gelöscht wurde. Da wir nur zu zweit im IT-Team sind, sind wir sicher, dass wir nicht dafür verantwortlich sind.
Wenn das wirklich so ist, dann habt Ihr ein ganz anderes Problem als fehlende Logs. Im AD werden keine User "automatisch gelöscht". Allenfalls werden sie automatisch deaktiviert, wenn das Konto mit einem Verfallsdatum versehen wurde. Aber gelöscht werden sie nur, wenn ein Admin das tut. Es gibt m. E. nur zwei Methoden, um das "automatisch" zu löschen. Man bastelt sich ein Skript, dass regelmäßig nach deaktivierten Konten sucht und diese nach bestimmten Kriterien automatisch löscht. Aber auch das ist: "Der Admin hat's gemacht." Oder der Admin weiß nicht, dass das Löschen im Exchange auch gleich den ganzen User mit in die Tonne tritt.
Wenn es also wirklich so war, dass der User ohne Euer Zutun nach sechs Stunden verschwunden ist, dann solltet Ihr dringend schauen, wer denn da noch administrativen Zugriff auf Euer AD hat.
Zum Thema selbst hat ja @tagol01 schon einen Beitrag gepostet, der alles notwendige enthält.
Liebe Grüße
Erik
1
Zitat von @erikro:
Wenn es also wirklich so war, dass der User ohne Euer Zutun nach sechs Stunden verschwunden ist, dann solltet Ihr dringend schauen, wer denn da noch administrativen Zugriff auf Euer AD hat.
Oder mal nach einer defekten Replikation zwischen DCs suchen.
1
Moin.
AD-Papierkorb aktivieren?
Cheers,
jsysde
AD-Papierkorb aktivieren?
Cheers,
jsysde
1
Servus zusammen,
wir haben den Fehler nicht gefunden, aber vermutlich war es ein versehentlicher Vorgang.
Vielmehr interessiert mich das Thema der Änderungsprotokollierung. Ich habe nach dieser Anleitung eine neue GPO unter "Domain Controllers" auf unserem AD erstellt und dann wie in der Anleitung beschrieben unter "Überwachungsrichtlinien > DS-Zugriff > Verzeichnisdienständerungen überwachen" aktiviert.
https://www.windowspro.de/wolfgang-sommergut/gpupdate-gruppenrichtlinien ...
Jetzt komm ich aber nicht mehr weiter. Ich habe keine Ahnung wie ich jetzt auslesen kann, ob mein Computerobjekt XYZ9000 oder meine Sicherheitsgruppe "ALL_USERS" umbenannt worden ist, verschoben, gelöscht oder was auch immer.
Ich hoffe Ihr könnt mir hier noch einmal weiterhelfen, dass wäre echt super
wir haben den Fehler nicht gefunden, aber vermutlich war es ein versehentlicher Vorgang.
Vielmehr interessiert mich das Thema der Änderungsprotokollierung. Ich habe nach dieser Anleitung eine neue GPO unter "Domain Controllers" auf unserem AD erstellt und dann wie in der Anleitung beschrieben unter "Überwachungsrichtlinien > DS-Zugriff > Verzeichnisdienständerungen überwachen" aktiviert.
https://www.windowspro.de/wolfgang-sommergut/gpupdate-gruppenrichtlinien ...
Jetzt komm ich aber nicht mehr weiter. Ich habe keine Ahnung wie ich jetzt auslesen kann, ob mein Computerobjekt XYZ9000 oder meine Sicherheitsgruppe "ALL_USERS" umbenannt worden ist, verschoben, gelöscht oder was auch immer.
Ich hoffe Ihr könnt mir hier noch einmal weiterhelfen, dass wäre echt super