Комментарии 9
Спасибо автору за хороший материал! Отслеживание изменений в AD путём сравнения текущего слепка с baseline image - годная тема при реагировании и расследовании инцидентов =)
А я в свое время забирал изменения в AD из лога аудита. Надо только его настроить.
Спасибо, вот и есть это настоящий Хабр!
Интересно, а создатели всяких FreeIPA и клонов, они "изобретали велосипед", или всё же подсмотрели способ реализации репликации?
Паук в Active Directory так лапками тыдык тыдык
Не могло не напомнить...
Я когда-то занимался вопросом синхронизации профилей пользователей (чтоб только меняющиейся профиля и свойства брать), я долго искал что-то похожее в интернете (лет 10 назад было) в итоге раскопал эти 2 свойства:
msds-replattributemetadata
msds-replvaluemetadata
Они менялись всегда, сколько бы контроллеров не было. С одним ограничением, должны быть права на Replicate Directory Changes (Read) и Replicate Directory Changes All (Read). Права написал по памяти, могут чуть по другому называться, они дают доступ на чтение изменений, иначе свойства будут пустыми.
Но ,как я понимаю - изменение состава группы так отследить невозможно.
Можно следить только за изменением свойств объекта ,а добавление юзера в группу , USN группы никак не шатает...
Как раз таки изменение членства в группе изменяет USN группы. На картинке/примере вывода утилиты есть две строчки с AttributeNames member - это как раз изменение членства в группах.
Плюс, есть упоминание об этом в рамках Linked Attributes:
Если при отслеживании изменений с помощью репликации какой-то пользователь был добавлен или удален из группы, то вы увидите изменение только на объекте группы, а не на пользователе.
Паук в Active Directory так лапками тыдык тыдык