Änderungsverlauf

Der Änderungsverlauf zeigt wichtige Aktivitäten in Ihrem Active Directory in Echtzeit an.

Änderungsverlauf öfnnen

Der Änderungsverlauf lässt sich, wie im folgenden Screenshot gezeigt, über den entsprechenden Menüpunkt in der linken Seitenleiste öffnen.

Äktivitäten verstehen

Welche Änderungen werden angezeigt?

Im Änderungsverlauf werden wichtige Änderungen, die jemals in Ihrem Active Directory vorgenommen wurden, angezeigt. Änderungen, die aktuell geschehen, können Sie in Echtzeit im Änderungsverlauf verfolgen.

Angezeigt werden Änderungen an den Objekttypen Benutzer, Gruppen und Computer. Im Folgenden werden – gruppiert nach den Objekttypen – die aufzufindenden Änderungen an Benutzern, Gruppen und Computern aufgeführt, die auch für eine forensische Untersuchung relevant sein können.

Benutzer

  • Erstellung und Löschen eines Benutzers
  • Anmeldung eines Benutzers
  • Deaktivierung und Aktivierung eines Benutzerkontos
  • Erstellung eines Administrators
  • Änderung zum Bedarf eines Passworts
  • Passwortänderungen
  • Änderung des Distinguished Names
  • Änderung bzgl. der Delegierung
  • Änderung zur Einstellung: Passwort läuft nie ab
  • Änderung der Passwortverschlüsselung (DES)
  • Änderung des SamAccountNames
  • Änderung des zur Verwendung der Kerberos-Präauthentifizierung

Gruppen

  • Erstellung einer Gruppe
  • Änderung des Names
  • Änderung des Distinguished Names
  • Änderung des Canonical Names
  • Änderung des SamAccountNames
  • Hinzu- und Entfernen von Benutzer zur Gruppe
  • Hinzu- und Entfernen von Gruppen zur Gruppe
  • Hinzu- und Entfernen von Computern zur Gruppe

Computer

  • Änderung des Distinguished Names
  • Anmeldung eines Computers
  • Erstellung eines Computers (Domainjoin)
  • Änderung der Beschreibung
Metadaten

Jede Aktivität wird mit Metadaten versehen. Diese Metadaten geben Auskunft über die Art der Aktivität, den Zeitpunkt der Aktivität sowie eine für den jeweiligen Typ einzigartige Nummer.

  1. Typ der Aktivität
  2. Eindeutige Nummer der Aktivität
  3. Zeitpunkt der Aktivität

 

In diesem Beispiel wurde am 22.04.2023 um 11:18:39 Uhr eine Änderung Computer mit dem Namen „MEMBERSRV$“ vorgenommen. Diese Änderung hat die eindeutige Kennung #C3806 bekommen.

Inhalte der Aktivität

Jeder Aktivität ist eine Änderung zugeordnet. Diese Änderung gibt Auskunft das geänderte Objekt, den alten sowie den neuen Wert.

  1. Objekt, an welche die Änderung stattgefunden hat (hier der Computer „MEMBERSRV$“
  2. alter Wert (hier des Distinguished Names)
  3. neuer Wert (hier des Distinguished Names)

Aktivitäten durchsuchen

Suche öffnen

Die Suche kann mit einem Klick auf den Suchbutton am Start des Änderungsverlaufs geöffnet werden.

Suchkriterien

Zeitraum

Der durchsuchende Zeitraum kann über die Kalenderauswahl eingestellt werden. Die Suche wird nur in diesem Zeitraum durchgeführt. Für eine schnelle Suche können die vorgegebenen Zeiträume wie „Heute“, „Letzte Woche“ oder „Letzten Monat“ verwendet werden.

Typ

Die Objekttypen der zu durchsuchenden Aktivitäten lassen sich über Checkboxen auswählen.

Nicht die richtige Antwort gefunden?
Wir helfen gerne weiter! Schreiben Sie uns an support@sec-auditor.com