Bericht: AD-Veränderungen (noch einmal aufgegriffen)

Hallo,

es gibt ja schon 2 Anfragen diesbezüglich, da aber die Dringlichkeit bei den Kunden, vor allem bei der Einführung von TIERING-Ebenen, stetig wächst muss ich die Idee einfach noch einmal platzieren.

Hier die "alten" Links zu den Ideen:

Idee 1

Idee 2

Wichtiger denn je sind Dinge wie "wer hat verändert" und "wann wurde verändert".

Ich hätte da evtl. sogar was nutzbares, müsste man noch mal verifizieren und testen und eine Prüfung auf deaktivierte Audit-Policy integrieren:

# Parameter für das Skript

$startTime = (Get-Date).AddDays(-1) # Startzeit auf 24 Stunden zurücksetzen

$logName = "Security" # Das Sicherheitsprotokoll

# Eine Liste von Event IDs, die relevante AD-Änderungen darstellen

# Beispiel: 4728 - Ein Benutzer wurde einer Sicherheitsgruppe hinzugefügt

# Diese Liste sollte entsprechend den spezifischen Bedürfnissen angepasst werden

$eventIDs = 4728, 4729, 4732, 4733, 4740, 5136, 5137, 5138, 5139, 5141

# Abfrage der Ereignisse

$events = Get-WinEvent -FilterHashtable @{

LogName = $logName

ID = $eventIDs

StartTime = $startTime

}

# Ergebnisse verarbeiten

$result = foreach ($event in $events) {

$eventXml = [xml]$event.ToXml()

[PSCustomObject]@{

TimeCreated = $event.TimeCreated

EventID = $event.Id

UserID = $eventXml.Event.EventData.Data | Where-Object { $_.Name -eq 'SubjectUserName' } | Select-Object -ExpandProperty '#text'

TargetID = $eventXml.Event.EventData.Data | Where-Object { $_.Name -eq 'TargetUserName' } | Select-Object -ExpandProperty '#text'

Detail = $eventXml.Event.EventData.Data | Where-Object { $_.Name -eq 'AttributeLDAPDisplayName' } | Select-Object -ExpandProperty '#text'

}

}

# Ergebnisse als Tabelle anzeigen

$result | Format-Table -AutoSize

Ein Dank an die Entwicklung für's prüfen:

Frank Oehlschlägel

"Docusnap-MVP since 2020",

Docusnap-Leader & Senior Consultant @ SVA System Vertrieb Alexander GmbH