TUTOS.EU

Mettre en place l'audit de la modification des groupes et comptes de l'AD

Mettre en place une surveillance sur les modifications effectuées sur les groupes et comptes d'un AD

Editez la stratégie du domaine par défaut

N'utilisez plus Local Policies>Audit Policy mais Advanced Audit Policy Configuration>Audit Policies

Comme indiqué sur
https://technet.microsoft.com/fr-fr/library/dd408940%28v=ws.10%29.aspx

Activez le paramètre
Audit : force les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) à se substituer aux paramètres de catégorie de stratégie d’audit

Activez ces paramètres pour auditer ce qui se passe sur les groupes et comptes

En Français cela donne ceci :

Faites une mise à jour de la stratégie via la commande
Gpupdate /force

Maintenant pour l'exemple on supprime ce compte

On retrouve bien la trace de l'effacement dans le journal de sécurité de l'AD

Si par la suite vous voulez déclencher une tâche planifiée sur les modifications de comptes et groupes, dans les event d'une tâche, sélectionnez comme montré ici

La même en Français

Ce qui donnera ceci :

La requete xml correspondante est :

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and ( Task = 13824 or Task = 13826 )]]</Select>
  </Query>
</QueryList>
Lien vers le fichier : cliquez ici Copier le code

Voici des numéros d'eventid et leur signification

EventID Signification
4728 Ajout d'un user dans un groupe
4729 Delete d'un user d'un groupe

Exemple dans un log de sécurité du retrait d'un user d'un groupe


2