SCOM: Jak monitorovat změny Group Policy (GPO)

První článek ze série inspirované prezentací Top 10 Active Directory Changes to Monitor in the Security Log

Potřebujeme-li hlídat modifikace objektů GPO (zásady skupiny) ve Windows Active Directory, pomůže nám Operations Manger (SCOM 2007). Vytvoříme výstrahu reagující na výskyt události 5136 – A directory service object was modified, následujícím způsobem

  • Podmínkou je Audit Policy – Directory Service Changes na serverech, kde se změny odehrávají (domain controller).

Událost obsahuje v parametru 11 třídu objektu groupPolicyContainer a v dalších parametrech GUID a DN příslušného GPO, bohužel neobsahuje „čitelný“ název GPO:

Objekt:
DN: cn={BB865851-9C3C-46A8-BD7F-231D50F714D6},cn=policies,cn=system,DC=trial,DC=net
GUID: CN={BB865851-9C3C-46A8-BD7F-231D50F714D6},CN=Policies,CN=System,DC=trial,DC=net
Třída: groupPolicyContainer

Založíme pravidlo:

  • Rule: Alert Generating \ Event Based \ NT Event Log (Alert)
  • Select Management Pack: umístíme do vlastního MP nebo vytvoříme nový
  • Rule Name: GPO Modified
  • Rule Category: Alert
  • Rule Target: Windows Domain Controller, nebo Active Directory Domain Controller Server 2008 Computer Role
  • zrušit volbu Rule is enabled (!)
  • Event log Type – Log Name: Security
  • Build Event Expression: ( ( Event ID Equals 5136 ) AND ( Parameter 11 Contains groupPolicyContainer ) )

  • Configure Alerts – definujeme podle potřeby
  • Create

Název GPO nám pomůže identifikovat například tento skript (musíte změnit příkaz Set objConfiguration = GetObject _
(LDAP://CN=Policies,CN=System,DC=trial,DC=net)  podle vašeho AD:

VBScript: pro výpis GPO Display Name:

WScript.Echo "Group Policy GUIDs and Display Names"
Set objConfiguration = GetObject _
("LDAP://CN=Policies,CN=System,DC=trial,DC=net")
WScript.Echo "Domain: trial.net"
For Each objContainer in objConfiguration
   WScript.Echo objContainer.Name, objContainer.displayname
Next

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *