Aus Sicht der Domänencontroller, gibt es keinen Unterschied zwischen jemandem bei AD - Objekten sucht mit Active Directory - Benutzer und -Computer, net user /domainoder ein anderes Werkzeug, das das Verzeichnis durchsucht. Wenn Sie wirklich die Prozesserstellung und -beendigung überwachen möchten, sehen Sie unter Task-Manager zeigt laufende Programme. Wie kann ich die beendeten sehen?
Sie können jedoch den AD-Objektzugriff überprüfen. Passen Sie zunächst die Überwachungsrichtlinie Ihrer Domänencontroller an ( Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Überwachungsrichtlinie ), um den erfolgreichen Zugriff auf den Verzeichnisdienst zu überwachen . Dann gehen Sie zu ADUC und aktivieren Sie erweiterte Funktionen (unter Ansicht). Öffnen Sie in jeder Organisationseinheit, die Benutzer enthält, im Fenster Eigenschaften die Registerkarte Sicherheit. Klicken Sie auf die Schaltfläche Erweitert und wechseln Sie zur Registerkarte Überwachung. Fügen Sie dort einen Listeninhalt (oder Vollzugriff) hinzuWenn Sie möchten,) Eintrag, der für alle gilt. Auf der Registerkarte "Überwachung" gewähren Einträge keinen Zugriff. Sie markieren nur Objekte für die Prüfung. Jeder Benutzer, der ein Programm ausführt, das diese Organisationseinheiten auflistet, fügt am Ende ein Ereignis 4662 (Directory Service Access) zum Ereignisprotokoll des DCs mit allen relevanten Informationen hinzu.
Alternativ können Sie ein einzelnes „Honeypot“ Benutzerkontos, das Erstellen alle Zugriff ( Vollzugriff ) geprüft werden. Da net user /domaineinige Eigenschaften der gefundenen Benutzer betrachtet werden, wird die Überwachung ausgelöst.
Lesen Sie weiter: AD DS Auditing - Schritt-für-Schritt-Anleitung