Benutzer-Werkzeuge
active_directory
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
active_directory [2025/03/29 21:02] jango [Group managment] |
active_directory [2025/04/10 22:03] (aktuell) jango |
||
|---|---|---|---|
| Zeile 2: | Zeile 2: | ||
| Siehe auch [[coding: | Siehe auch [[coding: | ||
| + | |||
| + | < | ||
| + | repadmin /syncall /AeD | ||
| + | repadmin /syncall /d /e < | ||
| + | dnscmd /zoneinfo domain.local | ||
| + | </ | ||
| =====Reversible Encryption===== | =====Reversible Encryption===== | ||
| Zeile 242: | Zeile 248: | ||
| * [[DNS]] Server | * [[DNS]] Server | ||
| * [[DHCP]] Server | * [[DHCP]] Server | ||
| - | * Active Directory Certificate Services | + | * [[ADCS]] (Active Directory Certificate Services) |
| * Remote Access Server (RAS) - [[VPN]] | * Remote Access Server (RAS) - [[VPN]] | ||
| * Microsoft Active Directory Federation Services ([[adfs|ADFS]]) - Verschlüsselung, | * Microsoft Active Directory Federation Services ([[adfs|ADFS]]) - Verschlüsselung, | ||
| Zeile 292: | Zeile 298: | ||
| |4738|A user account was changed.| | |4738|A user account was changed.| | ||
| |4740|A user account was locked out.| | |4740|A user account was locked out.| | ||
| - | |4741|A computer account was changed.| | + | |4741|A computer account was chreated.| |
| - | |4742|A computer account was changed??| | + | |4742|A computer account was changed.| |
| |4743|A computer account was deleted| | |4743|A computer account was deleted| | ||
| |4744|A security-disabled local group was created.| | |4744|A security-disabled local group was created.| | ||
| Zeile 333: | Zeile 339: | ||
| |4788|A nonmember was removed from a basic application group.| | |4788|A nonmember was removed from a basic application group.| | ||
| + | 4698: A scheduled task was created. | ||
| + | 4699: A scheduled task was deleted. | ||
| + | 4700: A scheduled task was enabled. | ||
| + | 4701: A scheduled task was disabled. | ||
| + | 4702: A scheduled task was updated. | ||
| + | |||
| + | 1002: malware scan stopped before completing scan | ||
| + | 1003: malware scan paused | ||
| + | 1005: malware scan failed | ||
| + | 1006, 1116: malware or unwanted software detected | ||
| + | 1007, 1117: action to protect system performed | ||
| + | 1008, 1118: action to protect system failed | ||
| + | 1009: item restored from quarantine | ||
| + | 1012: unable to delete item in quarantine | ||
| + | 1015: suspicious behavior detected | ||
| + | 1119: critical error occurred when taking action | ||
| [[ToDo]] [[https:// | [[ToDo]] [[https:// | ||
| - | ===User Managment=== | + | ===User |
| + | |||
| + | Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Erweiterte Überwachungsrichtlinien -> Kontenverwaltung | ||
| + | |||
| + | * Benutzeranmeldeereignisse überwachen(für Benutzeranmeldungen und -abmeldungen) | ||
| + | * Benutzer- und Gruppenänderungen überwachen (Für Änderungen an Benutzerkonten und Gruppenmitgliedschaften) | ||
| + | |||
| + | Überwachungsrichtlinie für " | ||
| + | |||
| + | Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Erweiterte Überwachungsrichtlinien -> Objektzugriff | ||
| + | |||
| + | Aktiviere: Zugriff auf Datei-/ | ||
| + | |||
| + | User Managment | ||
| ^Event ID^Beschreibung^ | ^Event ID^Beschreibung^ | ||
| Zeile 355: | Zeile 390: | ||
| |4757|A member was removed from a security-enabled universal group| | |4757|A member was removed from a security-enabled universal group| | ||
| - | ===Group managment=== | + | |
| Security Groups | Security Groups | ||
| Zeile 381: | Zeile 416: | ||
| ===NTFS Berechtigungen=== | ===NTFS Berechtigungen=== | ||
| + | |||
| + | Objektzugriffsüberwachung muss aktiviert sein. | ||
| + | |||
| + | Gruppenrichtlinien: | ||
| + | |||
| + | Aktiviere die Option: Datei- und Ordnerschutz überwachen | ||
| + | |||
| + | Alternativ in klassischen Richtlinien: | ||
| + | |||
| + | |||
| + | Gehe zum Ordner oder Laufwerk, das du überwachen möchtest: Rechtsklick -> Eigenschaften -> Sicherheit -> Erweitert -> Überwachung | ||
| + | |||
| + | Füge " | ||
| + | |||
| + | Wähle die Berechtigungen aus, die überwacht werden sollen, z. B.: | ||
| + | |||
| + | * Lesen | ||
| + | * Ändern | ||
| + | * Schreiben | ||
| + | * Löschen | ||
| + | * Erstellen | ||
| + | |||
| + | Wenn du alle Zugriffsarten überwachen möchtest, wähle " | ||
| ^Event ID^Beschreibung^ | ^Event ID^Beschreibung^ | ||
| Zeile 386: | Zeile 444: | ||
| |4674|An operation was attempted on a privileged object (Änderung an einem geschützten Objekt)| | |4674|An operation was attempted on a privileged object (Änderung an einem geschützten Objekt)| | ||
| |5145|A network share object was checked to see whether client can be granted desired access (Prüfung von Freigabeberechtigungen)| | |5145|A network share object was checked to see whether client can be granted desired access (Prüfung von Freigabeberechtigungen)| | ||
| + | |4660|An object was deleted (Objekt gelöscht, z.B. eine Datei oder ein Ordner)| | ||
| |4663|An attempt was made to access an object (Allgemeiner Objektzugriff, | |4663|An attempt was made to access an object (Allgemeiner Objektzugriff, | ||
| |4662|An operation was performed on an object (Änderung des Besitzes von Dateien/ | |4662|An operation was performed on an object (Änderung des Besitzes von Dateien/ | ||
| |4656|A handle to an object was requested (Zugriffsversuch auf ein Objekt mit Berechtigungsänderung)| | |4656|A handle to an object was requested (Zugriffsversuch auf ein Objekt mit Berechtigungsänderung)| | ||
| + | |||
| + | ===SMB Share Berechtigungen=== | ||
| + | |||
| + | untested | ||
| + | |||
| + | ^Event ID^Beschreibung^ | ||
| + | |5142|A network share object was added.| | ||
| + | |5143|A network share object was modified.| | ||
| + | |5144|A network share object was deleted.| | ||
| ===Powershell Script=== | ===Powershell Script=== | ||
| <code powershell> | <code powershell> | ||
active_directory.1743278564.txt.gz · Zuletzt geändert: 2025/03/29 21:02 von jango
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-NoDerivatives 4.0 International
