Créer une alerte sur les modifications de votre Active Directory

Nous savons tous que les administrateurs sont des personnes dignes de confiance, et que tout le monde aiment remplir des pages après pages du rapport sur le tout nouvel utilisateur, qu’ils ont créé.

Alors que se passer quand vous voulez faire rapport sur ces travaux s’ils ne transmettent pas ces informations ?

La première chose à faire est de transmettre depuis les contrôleurs de domaine les événements vers un ordinateur de confiance. Pour ce faire vous pouvez suivre cet article : http://technet.microsoft.com/en-us/library/cc749140.aspx

Mais cela n’est valable que si vous avez effectivement le temps de lire ces événements.

Alors voilà une solution pour vous : Soyez alertés, par email, sur des événements spécifiques. Cet article suppose qu’événement audit est activé et configuré sur votre contrôleur de domaine, et prend par exemple que cherchez « Quand et par qui est créé un compte d’utilisateur? ».

Première étape: Identifier les événements à collecter

Soit vous les connaissez par coeur, soit vous avez la liste officielle ici  (http://www.microsoft.com/downloads/en/details.aspx?FamilyID=3a15b562-4650-4298-9745-d9b261f35814), mais le plus simple est de générer l’événement de création d’un utilisateur soit même🙂

Puis regarder l’observateur d’événement et chercher l’événement.

Ici nous avons:

Category:
User Account Management

ID: 4720

Clic-droit: Attach Task to this event

Cela ouvre l’assistant
Basic Task creation wizard.

Donnons un nom à cette tâche.

Next. Puis “When an event is logged » (grisé par défaut, mais puisque les paramètres sont déjà correctes ce n’est pas grave)

Action: Display a message

Next > Summary > Finish

Deuxième étape: Personnalisation du message

Ok, maintenant nous avons une nouvelle tâche générant un superbe pop-up contenant le message ci-dessus.

Mais cela ne nous aides pas à savoir le « quand et où ».

Il faut donc obtenir les données de l’événement et générer un message personnalisé à partir de l’événement.

Réouvrir l’événement utilisé dans l’étape précédente et regardons les détails de la tâche (Onglet Details)

Notez les noms des champs que vous réutiliserez dans votre tâche, ici j’ai séléctionné:

Dans System – Computer
Dans EventData – TargetUserName
Dans EventData – SubjectUserName
Dans EventData – UserPrincipalName

Prochaine étape, exporter la tâche créée en étape un au format XML pour pouvoir la modifier librement (clic-droit > Export).

Ouvrez le fichier XML de la tâche (ici dans Notepad++) et inserrez le code XML surligné suivant dans la section EventTrigger :

La section ValueQueries et ses valeurs Value data seront à signaler comme indiqué ci-dessous :

Notez bien que les valeurs récupérées de la section SYSTEM sont traitées en utilisant le code suivant:

<Value name= »nom_de_votre_variable »>Event/System/_source_</Value>

Alors que les valeurs récupérées de la section EventData ont un format assez différent comme le montre le format suivant:

<Value name= »nom_de_votre_variable »>Event/EventData/Data[@Name=’_source_‘]</Value>

Enregistrez le fichier modifié, puis importez la tâche dans le task scheduler (note: la tâche précédente doit être supprimée si vous voulez réutiliser le même nom)

Maintenant que les champs de données de l’événement sont importés dans des variables de la tâche, nous pouvons les utiliser dans notre petit pop-up.

Editez la tâche, et aller à l’onglet Action.

Changer l’action « Display a message » en utilisant le code montré ci-dessous:

Comme on peut le voir, c’est assez facile à relire tant que vous utiliser un nom de variable lisible:

$(nom_de_votre_variable) est ici le contenu du champ en rose de la capture d’écran de code XML, que nous utilisons ici directement comme code de type chaîne de charactère.

Pour test on génére un nouvel utilisateur et un pop-up apparaitra immédiatement comme celui-ci :

Il ne reste plus qu’à modifier l’action pour remplacer l’envois de pop-up par un email.

A chaque nouvel utilisateur créé par un admin, vous recevrez un email avec le nom du compte de l’administrateur et le nom du compte créé.

Il ne reste plus qu’à étendre ce principe à toutes les tâches critiques (modification de l’appartenance aux groupes par exemple.)

N’est il pas super ce planificateur de tâches?

4 réflexions au sujet de « Créer une alerte sur les modifications de votre Active Directory »

  1. Possibilité intéressante mais à « tuner » avec précaution dans les grands environnements pour ne pas se noyer sous une foultitude de mails qui ne seraient pas lus. Je vois cependant différents usages :
    – Notification à chaque fois qu’un membre est ajouté à un groupe disposant de hauts privilèges (Domain Admin par ex.). Dans de nombreuses grosses structures ou je suis amené à travailler, les comptes Admin font l’objet d’un process d’autorisation écrite auprès d’un Security Officer. Malgré ce process, rien n’empêche (quand on a les droits qui vont bien) de passer outre ce processus d’autorisation. Avec la notification par mail, le Security Officer est certain de ne manquer aucun ajout « pirate ».

    On n’oubliera pas les comptes de service, les comptes applicatifs (comptes utilisés par une application ou un foreign OS pour accéder à un share par ex.).

    – Notification à chaque fois que le password d’un compte de service est changé (Impacts forts sur le dit service) car des actions sont à mener (changement pw pour chaque service concerné).

  2. Bonjour
    Sur mon Evènement je n’ai pas de nom des champs dans mon EventData:

    crash.exe
    0.0.0.0
    5045d9ce

    Je voudrais le deuxième champs, j’ai donc tenté ceci:
    Event/EventData/Data/Value[1]

    Mais impossible de faire fonctionner cela , des idées ??

    cordialement

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s