MBCDN

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: windows
active_directory

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung 		Vorhergehende Überarbeitung
active_directory [2025/03/29 20:49]
jango [Event-Log] 		active_directory [2025/04/10 22:03] (aktuell)
jango
Zeile 2: Zeile 2:
  
 Siehe auch [[coding:powershell#Active Directory|Powershell]]. Siehe auch [[coding:powershell#Active Directory|Powershell]].
 +
 +<code>
 +repadmin /syncall /AeD
 +repadmin /syncall /d /e <NameDesDCs> DC=DomainDnsZones,<deine-Domain>
 +dnscmd /zoneinfo domain.local
 +</code>
  
 =====Reversible Encryption===== =====Reversible Encryption=====
Zeile 242: Zeile 248:
   * [[DNS]] Server   * [[DNS]] Server
   * [[DHCP]] Server   * [[DHCP]] Server
-  * Active Directory Certificate Services (ADCS)+  * [[ADCS]] (Active Directory Certificate Services)
   * Remote Access Server (RAS) - [[VPN]]   * Remote Access Server (RAS) - [[VPN]]
   * Microsoft Active Directory Federation Services ([[adfs|ADFS]]) - Verschlüsselung, Zertifikatsmanagment, Single-SignOn (SSO), Smartcards   * Microsoft Active Directory Federation Services ([[adfs|ADFS]]) - Verschlüsselung, Zertifikatsmanagment, Single-SignOn (SSO), Smartcards
Zeile 268: Zeile 274:
  
 ====Event-Log==== ====Event-Log====
-Wichtige Event IDs+Wichtige Event IDs (unsortiert) [[todo]]
  
 ^ID^Beschreibung^ ^ID^Beschreibung^
Zeile 292: Zeile 298:
 |4738|A user account was changed.| |4738|A user account was changed.|
 |4740|A user account was locked out.| |4740|A user account was locked out.|
-|4741|A computer account was changed.| +|4741|A computer account was chreated.| 
-|4742|A computer account was changed??|+|4742|A computer account was changed.|
 |4743|A computer account was deleted| |4743|A computer account was deleted|
 |4744|A security-disabled local group was created.| |4744|A security-disabled local group was created.|
Zeile 333: Zeile 339:
 |4788|A nonmember was removed from a basic application group.| |4788|A nonmember was removed from a basic application group.|
  
 +4698: A scheduled task was created.
 +4699: A scheduled task was deleted.
 +4700: A scheduled task was enabled.
 +4701: A scheduled task was disabled.
 +4702: A scheduled task was updated.
 +
 +1002: malware scan stopped before completing scan
 +1003: malware scan paused
 +1005: malware scan failed
 +1006, 1116: malware or unwanted software detected
 +1007, 1117: action to protect system performed
 +1008, 1118: action to protect system failed
 +1009: item restored from quarantine
 +1012: unable to delete item in quarantine
 +1015: suspicious behavior detected
 +1119: critical error occurred when taking action
  
 [[ToDo]] [[https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor]] [[ToDo]] [[https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor]]
  
-Group managment+===User & Group Managment=== 
 + 
 +Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Erweiterte Überwachungsrichtlinien -> Kontenverwaltung 
 + 
 +  * Benutzeranmeldeereignisse überwachen(für Benutzeranmeldungen und -abmeldungen) 
 +  * Benutzer- und Gruppenänderungen überwachen (Für Änderungen an Benutzerkonten und Gruppenmitgliedschaften) 
 + 
 +Überwachungsrichtlinie für "Objektzugriffsüberwachung" aktivieren: 
 + 
 +Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Erweiterte Überwachungsrichtlinien -> Objektzugriff 
 + 
 +Aktiviere: Zugriff auf Datei-/Ordnerschutz. Das ist wichtig, um Berechtigungsänderungen an Benutzerkonten und Gruppen zu überwachen. 
 + 
 +User Managment 
 + 
 +^Event ID^Beschreibung^ 
 +|4720|A user account was created (Benutzerkonto erstellt)| 
 +|4726|A user account was deleted (Benutzerkonto gelöscht)| 
 +|4738|A user account was changed (Allgemeine Änderungen am Benutzerkonto)| 
 +|4767|A user account was unlocked (Konto entsperrt)| 
 +|4740|A user account was locked out (Konto gesperrt)| 
 +|4725|A user account was disabled (Konto deaktiviert)| 
 +|4722|A user account was enabled (Konto aktiviert)| 
 +|4723|An attempt was made to change an account's password (Benutzer ändert eigenes Passwort)| 
 +|4724|An attempt was made to reset an account's password (Administrator setzt Benutzerpasswort zurück)| 
 +|4728|A member was added to a security-enabled global group| 
 +|4729|A member was removed from a security-enabled global group| 
 +|4732|A member was added to a security-enabled local group| 
 +|4733|A member was removed from a security-enabled local group| 
 +|4756|A member was added to a security-enabled universal group| 
 +|4757|A member was removed from a security-enabled universal group| 
 + 
 + 
 + 
 +Security Groups
 ^Event ID^Beschreibung^ ^Event ID^Beschreibung^
 |4727|A security-enabled global group was created| |4727|A security-enabled global group was created|
Zeile 351: Zeile 407:
 |4757|A security-enabled universal group was deleted| |4757|A security-enabled universal group was deleted|
  
 +Distribution Groups
 +^Event ID^Beschreibung^
 +|4744|A distribution group was created|
 +|4745|A member was added to a distribution group|
 +|4746|A member was removed from a distribution group|
 +|4747|A distribution group was deleted|
 +
 +
 +===NTFS Berechtigungen===
 +
 +Objektzugriffsüberwachung muss aktiviert sein. 
 +
 +Gruppenrichtlinien: Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Erweiterte Überwachungsrichtlinien -> Objektzugriff
 +
 +Aktiviere die Option: Datei- und Ordnerschutz überwachen
 +
 +Alternativ in klassischen Richtlinien: Objektzugriff überwachen -> Erfolg & Fehlschlag aktivieren
 +
 +
 +Gehe zum Ordner oder Laufwerk, das du überwachen möchtest: Rechtsklick -> Eigenschaften -> Sicherheit -> Erweitert -> Überwachung
 +
 +Füge "Jeder" oder eine spezifische Benutzer-/Gruppe hinzu.
 +
 +Wähle die Berechtigungen aus, die überwacht werden sollen, z. B.:
 +
 +  * Lesen
 +  * Ändern
 +  * Schreiben
 +  * Löschen
 +  * Erstellen
 +
 +Wenn du alle Zugriffsarten überwachen möchtest, wähle "Vollzugriff" aus, um eine detaillierte Protokollierung zu erhalten.
 +
 +^Event ID^Beschreibung^
 +|4670|Permissions on an object were changed (Änderung von NTFS-Berechtigungen)|
 +|4674|An operation was attempted on a privileged object (Änderung an einem geschützten Objekt)|
 +|5145|A network share object was checked to see whether client can be granted desired access (Prüfung von Freigabeberechtigungen)|
 +|4660|An object was deleted (Objekt gelöscht, z.B. eine Datei oder ein Ordner)|
 +|4663|An attempt was made to access an object (Allgemeiner Objektzugriff, wenn aktiviert)|
 +|4662|An operation was performed on an object (Änderung des Besitzes von Dateien/Ordnern)|
 +|4656|A handle to an object was requested (Zugriffsversuch auf ein Objekt mit Berechtigungsänderung)|
 +
 +===SMB Share Berechtigungen===
 +
 +untested
 +
 +^Event ID^Beschreibung^
 +|5142|A network share object was added.|
 +|5143|A network share object was modified.|
 +|5144|A network share object was deleted.|
 +===Powershell Script===
 <code powershell> <code powershell>
 # Definieren Sie den Zeitraum für die Überwachung (z.B. die letzten 7 Tage) # Definieren Sie den Zeitraum für die Überwachung (z.B. die letzten 7 Tage)
active_directory.1743277794.txt.gz · Zuletzt geändert: 2025/03/29 20:49 von jango

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-NoDerivatives 4.0 International
CC Attribution-NoDerivatives 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki