Dressurausbildung Daniel Köck

Dresssurausbildung Koeck

Bewertung: 4 / 5

Stern aktivStern aktivStern aktivStern aktivStern inaktiv
 

Damit Sicherheitseinträge in der Ereignisanzeige eines Domänen Controllers an einen anderen Server (Collector) wietergeleitet werden können, sind am Domänen Controller einige Einstellungen notwendig:

  1. Aktivieren der Überwachungsprotokollierung am DC
  2. Computer, der als "Collector" fungiert zur Gruppe der "Ereignisprotokollleser" am DC hinzufügen (Im Beispiel FS01)
    Powershell:
    Add-ADGroupMember identity ‘Ereignisprotokollleser’ member FS01$
    User Account audit 02
    User Account audit 03
  3. GPO "Default Domain Controllers Policy" bearbeiten um dem "Netzwerkdienst" die nötigen Rechte zum Lesen der Ereignisprotokolle zu geben.
    Wert: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
    User Account audit 04
    alternativ über:
    wevtutil set-log security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
    wevtutil get-log security
    User Account audit 05
    Nach Abschluss der Arbeiten wird nun der "Collector-Server" eingerichtet.

Copyright © winxperts4all.com. All Rights Reserved.