Auditing und Delegierung im Active Directory: Bordmittel versus externe Tools

Vielmehr versuchte Melber mit Hilfe von Auditing ein paar konkrete Fragen zu beantworten, die sich Administratoren regelmäßig stellen sollten. Dazu gehört etwa die Information, wann zuletzt ein User in die Gruppe Administratoren aufgenommen bzw. daraus entfernt oder wann das Passwort für einen Managed Service Account geändert wurde. Aktiviert man zu diesem Zweck das Advanced Auditing für die betreffenden Ereignisse, dann werden diese in den Eventlog des jeweiligen Domänen-Controllers geschrieben.

Bordmittel wie die Ereignisanzeige bieten dann zwar die Möglichkeit, eigene Ansichten einzurichten, um aus den dort gespeicherten Einträgen die gewünschten auszufiltern, aber der Vorgang ist umständlich, wenn man dafür erst alle benötigten Event-IDs ermitteln muss. Die anschließend erzeugte Übersicht bietet nur eine primitive und langsame Suchfunktion, wenn man das Ergebnis weiter eingrenzen möchte.

Verteilte Security-Informationen

In komplexen AD-Strukturen mit vielen DCs stellt sich natürlich das Problem, dass die Security-Events auf alle Maschinen verteilt sind und es praktisch unmöglich ist, diese separat zu sichten, um bestimmte Vorkommnisse zu entdecken.

Aber unabhängig davon zeigen sich hier weitere Grenzen der Bordmittel, weil Windows aufgrund der relativ geringen Größenlimits für Logfiles schnell damit beginnt, ältere Einträge zu überschreiben. Entsprechend erhält man hier nur Auskünfte über einen relativ kurzen Zeitraum.

Konsolidierung der Logs

Ein naheliegender Ansatz ist in diesem Fall, ausgewählte Security-Events durch Forwarding auf einer Maschine zu konsolidieren. Nach der Konfiguration dieses Features steht man erneut vor der Aufgabe, in der Ereignisanzeige mit Event-IDs hantieren zu müssen, weil Windows ein Filtern auf Basis von Nachrichten nicht vorsieht.

Unter diesen Umständen lässt sich unschwer absehen, dass spezialisierte Tools von Drittanbietern die gestellten Aufgaben deutlich besser bewältigen können. ManageEngine ist allein schon deswegen im Vorteil, weil es alle einschlägigen Log-Einträge permanent in einer eigenen Datenbank speichert und mehr als 100 vorgefertigte Reports bietet, mit denen sich sicherheits­relevante Informationen zum AD darstellen lassen.

Unzureichendes Reporting von delegierten Rechten

Ähnlich verhält es sich bei der Delegierung von Rechten an Benutzer, das Active Directory-Benutzer und -Computer noch relativ einfach macht - zumindest solange man solche Aufgaben an normale User übertragen will, die vom Wizard berücksichtigt werden. Schwieriger wird es danach, den Überblick darüber zu behalten, wem welche Privilegien verliehen wurden und diese bei Bedarf wieder zu entziehen.

Hier führt der Weg entweder durch zahlreiche Kontextmenüs und Dialoge oder zu Kommandozeilen-Tools wie dsacls und PowerShell. Auch bei dieser Disziplin fällt es den meisten unabhängigen Herstellern von Werkzeugen für das AD-Management relativ leicht, bessere Alternativen bereitzustellen.