Hezký den všem,
zdá se, že okurková sezona pomalu končí a tak se i já vracím k práci bloggera :) Dnešní téma je jedna z novinek v Active Directory.

Auditing  v serveru Windows 2008 přináší oproti předchozím verzím windows serverů víc možností auditingu, mimo jiné i užitečné sledování změn hodnot objektů v doméně Active Directory. V předchozích verzích windows serverů se po zapnutí politiky Audit directory service access v rámci Group Policy pro doménové řadiče, objevují v security logu zápisy o úspěšných, či neúspěšných přístupech pro specifikované uživatele a objekty AD. Leč informace o tom co bylo vlastně změněno chyběla, doteď :)

Auditing v rámci politiky Audit directory service access obsahuje v serveru Windows 2008 celkem 4 pod-kategorie, které je možné konfigurovat zvlášť:

  • Directory Service Access
  • Directory Service Changes
  • Directory Service Replication
  • Detailed Directory Service Replication

Jak na zapnutí logování změn atributů
výše uvedené pod-kategorie nejsou konfugirovatelné z grafického prostředí. Pomocí Default Domain Controllers Policy je stále jen možné povolit/zakázat auditování přístupu k objektům AD. Jednotlivé pod-kategorie této politiky se nastavují pomocí nástroje auditpol.exe z příkazové řádky.
takto vypadá příkaz pro povolení auditování změn atrubutů objektů v AD, jde o první krok:

auditpol /set /subcategory:“directory service changes” /success:enable

následně je třeba na vámi vybraném OU nastavit auditování. Ve vlastnostech OU, na záložce Security vyberte Advanced a následně záložku Auditing. Klikněte na tlačítko Add a přidejte Authenticated users, či specifické uživatele a také zaškrtněte položku Write All Properties a typ přístupu Success (v předchozím příkazu jsme zapnuli auditování právě pro úspěšné změny, tedy success).

Pokud se vám vše povedlo, v security logu se začnou obětovat události o změnách atributů, i s původními a novými hodnotami:

zapiszmeny
 v tomto případě změna atributu mail pro uživatele Roman Cernovsky, uzivatel který změnu udělal byl administrator. Zápis s číslem 5136 se v security logu objeví celkem dvakrát, poprvé se starou hodnotou a typem operace value deleted, podruhé jako value added a novou hodnotou atributu.

Pro úplnost ještě typy událostí a jejich číselné označení:

Event ID

Type of event

Event description

5136

Modify

This event is logged when a successful modification is made to an attribute in the directory.

5137

Create

This event is logged when a new object is created in the directory.

5138

Undelete

This event is logged when an object is undeleted in the directory.

5139

Move

This event is logged when an object is moved within the domain.

Pokud nemáte testovací prostředí pro běh Windows serveru 2008, opět doporučuji Technet Laby s připraveným testovacím prostředím i scénářem, v tomto případě pro Fine Grained password policies (tedy politik pro hesla http://blogs.technet.com/technetczsk/archive/2007/06/08/windows-server-2008-politiky-pro-hesla-a-ucty.aspx), ale je jen na vás jak prostředí využijete:

Technet virtual LAB - http://msevents.microsoft.com/cui/webcasteventdetails.aspx?eventid=1032343981&eventcategory=3&culture=en-us&countrycode=us

hezký den
Roman Černovský