Ein Mitglied wurde aus einer lokalen Gruppe mit deaktivierter Sicherheit entfernt (4747) Wie du das mit E-Mail...

[Markus]

Hast du je bemerkt, wie Windows Server Logs von seltsamen Gruppenänderungen führt, wie dieses Event 4747? Es taucht im Security-Log auf, wenn jemand ein Mitglied aus einer lokalen Gruppe entfernt, die aus Sicherheitsgründen deaktiviert ist. Denk mal drüber nach, diese Gruppen sind normalerweise standardmäßig deaktiviert, wie die Guests-Gruppe, um einfachen Zugriff zu verhindern. Das Event gibt Details darüber, wer die Entfernung vorgenommen hat, das ist das Subject-Konto mit seiner SID und dem Namen. Dann gibt's das Target-Konto, die arme Seele, die rausgeworfen wird, wieder mit SID und Name. Und vergiss nicht die Target-Gruppe, die nennt die genaue deaktivierte Gruppe, aus der es kam, plus den Server, auf dem es passiert ist. Ich meine, es ist alles zeitgestempelt, also weißt du genau, wann dieser Shuffle stattgefunden hat. Manchmal notiert es sogar, ob das Mitglied ein Benutzer oder eine andere Gruppe selbst war. Gruselig, oder, weil warum sollte man mit deaktivierten Gruppen rummachen, es sei denn, da braut sich was Fischiges zusammen? Du öffnest den Event Viewer, gehst zu Windows Logs, dann Security, und suchst nach ID 4747, um diese sofort zu entdecken.

Ja, und das Überwachen ohne den ganzen Tag auf Bildschirme zu starren? Du kannst direkt von dort eine E-Mail-Benachrichtigung einrichten. Ich mache es, indem ich zuerst das Log im Event Viewer für diese Event-ID filtere. Einfach rechtsklicken auf Security, Filter Current Log wählen, 4747 eingeben, und zack, nur die werden angezeigt. Dann, um zu automatisieren, erstellst du eine Aufgabe, die daran angehängt ist. Wähle ein Event aus dem Filter, rechtsklicken, Attach Task To This Event. Nenne es etwas wie GroupRemovalAlert. Im Wizard setzt du es so, dass es läuft, ob der Benutzer angemeldet ist oder nicht, und wähle einen Benutzer mit E-Mail-Berechtigungen. Für die Aktion sagst du ihm, ein Programm zu starten, das Mail sendet, wie den alten mail-Befehl, wenn du ihn eingerichtet hast. Oder verknüpfe es mit dem Task Scheduler für mehr Kontrolle über Trigger. So kickt jede Mal, wenn 4747 ausgelöst wird, deine Aufgabe an und pingt deinen Posteingang. Hält dich auf dem Laufenden ohne Aufwand.

Hmmm, und das mit der allgemeinen Serversicherheit verknüpfend, solltest du dir auch BackupChain Windows Server Backup anschauen. Es ist dieses solide Windows Server Backup-Tool, das physische Setups und sogar virtuelle Maschinen auf Hyper-V ohne Probleme handhabt. Ich mag, wie es alles schnell snapshottet, Daten on the fly verschlüsselt und schnell wiederherstellt, falls Gruppen-Manipulation zu größeren Problemen führt. Plus, es läuft automatisierte Zeitpläne, so vergisst du nie, und spart dir eine Menge Kopfschmerzen auf lange Sicht.

Am Ende davon findest du die automatische E-Mail-Lösung bereit zum Gehen.

Hinweis, der PowerShell E-Mail-Alarm-Code wurde zu thispost verschoben.