В рамках некоторых тестов контроллера домена, которые я выполняю, я хотел бы выяснить, использовалась ли команда «net user /domain» с одной из моих конечных точек.
Итак, есть ли какой-либо журнал (на DC), который может сказать мне, использовалась ли такая команда?
С точки зрения контроллера домена, нет никакой разницы между тем, кто смотрит на объекты AD, используя Active Directory Users and Computers, net user /domain или любым другим инструментом, который просматривает каталог. Если вы действительно хотите проверить процесс создания и завершения процесса, см. « Диспетчер задач», в котором показаны запущенные программы. Как узнать, какие из них были завершены?
Тем не менее, вы можете проверить доступ к объекту AD. Сначала настройте политику аудита контроллеров домена (Конфигурация компьютера → Политики → Параметры Windows → Параметры безопасности → Локальные политики → Политика аудита) для аудита успешного доступа к службе каталогов. Затем перейдите в ADUC и включите расширенные функции (в разделе View). В каждом подразделении, содержащем пользователей, откройте окно «Свойства» на вкладке «Безопасность». Нажмите кнопку «Дополнительно», затем перейдите на вкладку «Аудит». Там добавьте запись списка содержимого (или полный доступ, если хотите), которая относится ко всем. На вкладке Auditing записи не предоставляют доступ; они просто помечают объекты для аудита. Затем любой пользователь, который запускает программу, которая перечисляет эти OU, в конечном итоге добавит событие 4662 (доступ к службе каталогов) в журнал событий DC со всей соответствующей информацией.
В качестве альтернативы, вы можете создать единую учетную запись пользователя "honeypot", для которой проверяется весь доступ (Полный контроль). Поскольку net user /domain просматривает несколько свойств пользователей, которых находит, он запускает аудит.
Дополнительная информация: пошаговое руководство по аудиту AD DS.
