NinjaOne01 – Monitoraggio delle modifiche agli utenti in Active Directory

  • by Ian Crego, Technical Marketing Engineer
  • Ultimo aggiornamento
Monitoraggio delle modifiche agli utenti in Active Directory
  • Ultimo aggiornamento

Nel mondo della tecnologia c’è un numero quasi infinito di parti in movimento: configurazioni di rete, Active Directory, utenti che vengono aggiunti e rimossi dai gruppi, dati, sicurezza e molto altro ancora. Cercare di tenere sotto controllo tutto questo può essere un vero e proprio mal di testa, quindi diamo un’occhiata ad alcuni modi attraverso i quali possiamo registrare le modifiche agli utenti in Active Directory con NinjaOne, per darti un po’ di tempo per respirare!

Acquisizione di EventID critici e configurazione delle notifiche in NinjaOne

Active Directory registra tutte le modifiche degli utenti nel Registro eventi e, sebbene questo sia utile, trovarle nel Registro eventi stesso non sempre si rivela semplice. Active Directory non invia avvisi quando vengono apportate modifiche, cosa che può essere particolarmente problematica quando gli utenti vengono aggiunti o rimossi dai gruppi di amministratori. Non sarebbe bello poter inserire i log importanti nel registro di controllo di NinjaOne, in modo che siano visibili da un’interfaccia familiare con cui già lavori quotidianamente?

È possibile, ma per farlo dobbiamo prima di tutto attivare alcuni log aggiuntivi in Active Directory. Per fortuna si tratta solo di un rapido aggiornamento dei GPO. Sul server Active Directory, apri lo snap-in Gestione criteri di gruppo, quindi il criterio predefinito del Domain Controller. Vai poi su Configurazione del computer>Criteri>Impostazioni di Windows>Impostazioni di sicurezza>Configurazione avanzata dell’audit>Gestione account e attiva il criterio Gestione gruppi di sicurezza dell’audit. Per questo esempio dovrai attivare solo l’opzione “successo”, ma puoi attivare anche l’opzione “fallimento” se desideri registrare anche le modifiche non riuscite dell’utente. Questo potrebbe essere utile per eventuale troubleshooting. Affinché queste modifiche abbiano effetto, dovrai riavviare il domain controller o eseguire il comando gpupdate.

Ora, se un utente viene aggiunto a un gruppo abilitato alla sicurezza come Amministratore di dominio, il Registro eventi creerà l’EventID 4728; l’eventID sarà invece 4729 se un account viene rimosso da un gruppo abilitato alla sicurezza. Anche soltanto questa informazione è estremamente preziosa, ma potresti voler essere in grado di vedere questi dati anche in NinjaOne e magari inviare automaticamente avvisi o creare ticket per questi eventi.

Per prima cosa, accedi a NinjaOne e vai su Amministrazione>Criteri>Criteri dell’agente. Da qui dovrai modificare un criterio esistente o crearne uno nuovo. Ti consigliamo di creare un nuovo criterio per i server Active Directory. Una volta creato il criterio, sarà necessario aggiungere una nuova condizione da monitorare per questo eventID.

  1. Nella sezione “Condizioni” dell’editor dei criteri, clicca su “Aggiungi una condizione”.
  2. Nell’editor delle condizioni, clicca prima di tutto su “Seleziona una condizione”.
    1. Seleziona la condizione “Evento Windows” dal menu a tendina delle condizioni.
    2. Inserisci “Microsoft-Windows-Security-Auditing” nel nome dell’origine/provider.
      Nota: Questo campo deve essere compilato esattamente così, altrimenti la condizione non si attiverà correttamente.
    3. Inserisci gli EventID desiderati digitandoli uno alla volta e premendo invio. In questo caso, come abbiamo detto in precedenza nella guida, abbiamo usato 4729 e 4728 per monitorare gli utenti aggiunti o rimossi dai gruppi abilitati alla sicurezza.
      Un consiglio da professionista: Puoi aggiungere altri EventID, come il 4738, per monitorare altre modifiche, anche se suggeriamo di aggiungerli ad altre condizioni, in modo da avere un controllo più granulare delle impostazioni di notifica, ticket e gravità per i diversi tipi di modifiche.
    4. Puoi anche aggiungere valori di testo per aumentare la granularità.
    5. Premi “Applica” quando le impostazioni sono di tuo gradimento.
      Condizione
  3. Assegna un nome alla condizione e configura le impostazioni di gravità, priorità e notifica nell’editor delle condizioni.
    1. Puoi impostare Gravità e Priorità per aggiungere informazioni supplementari sulla criticità dell’avviso nelle notifiche.
    2. Puoi inoltre utilizzare “Canali” per inviare le notifiche a canali di notifica specifici, come un numero di cellulare o un canale Slack, se i canali sono configurati.
    3. “Notifica ai tecnici” consente di attivare le notifiche ai tecnici assegnati all’organizzazione in cui si trova il dispositivo, in base alle impostazioni di notifica configurate nel loro account.
    4. Le ‘Regole di ticketing’ consentono di creare automaticamente i ticket quando si verifica la condizione.
  4. Una volta configurate tutte le impostazioni, clicca su “Aggiungi”.

Condizione

Ora, con l’aggiunta della nostra condizione, ogni volta che un utente viene aggiunto o rimosso da un gruppo, apparirà nel registro delle attività del dispositivo in NinjaOne e verrà creato un avviso nella pagina di panoramica del dispositivo. Se abiliti i canali o le notifiche, verranno inviati anche gli avvisi esterni!

Puoi controllare questi avvisi cercando il dispositivo nella griglia Ricerca dispositivo o navigando verso il dispositivo dalla Dashboard. Accanto al dispositivo sarà presente un’icona gialla che indica di fare attenzione; cliccando su di essa, verranno visualizzati gli avvisi. Puoi cliccare sul collegamento ipertestuale “Altro” per visualizzare tutti i dettagli del registro eventi, compresi l’utente che è stato modificato, il gruppo a cui è stato aggiunto o rimosso e l’account che ha avviato la modifica.

registro eventi

In alternativa, se accedi al dispositivo e apri il registro delle attività, potrai visualizzare un registro completo dei vari eventi del dispositivo. Puoi filtrare il tipo per “condizioni” per visualizzare solo le attività relative alle condizioni. Queste informazioni possono anche essere esportate per audit e altri report, se necessario.

Porta il monitoraggio al livello successivo

Seguendo i passaggi descritti, hai creato un modo semplice per essere avvisato delle modifiche critiche ai gruppi AD abilitati alla sicurezza. Come già detto, puoi creare una condizione diversa per il 4738 o per altri EventID al fine di monitorare, direttamente in NinjaOne, qualsiasi modifica! Potresti fare un ulteriore passo avanti aggiungendo delle automazioni per intervenire quando vengono apportate delle modifiche.

L’obiettivo di queste condizioni non è quello di eliminare la necessità per i tecnici di esaminare questo tipo di modifiche; piuttosto, è quello di attirare la loro attenzione su tali modifiche e creare un registro all’interno di NinjaOne per tenere traccia delle modifiche degli utenti AD e monitorarle.

Conoscere le modifiche critiche di Active Directory è essenziale per la sicurezza e l’efficienza. L’integrazione di questi log in NinjaOne crea una visione semplificata e centralizzata che fa risparmiare tempo, migliora la visibilità e supporta una gestione proattiva. Che si tratti di monitorare gli EventID chiave o di automatizzare le risposte alle modifiche degli utenti, NinjaOne ti fornisce gli strumenti per essere sempre un passo avanti e per mantenere il tuo ambiente IT sicuro e ottimizzato.

Passi successivi

La creazione di un team IT efficiente ed efficace richiede una soluzione centralizzata che funga da principale strumento per la fornitura di servizi. NinjaOne consente ai team IT di monitorare, gestire, proteggere e supportare tutti i dispositivi, ovunque essi si trovino, senza la necessità di una complessa infrastruttura locale.

Per saperne di più su NinjaOne Endpoint Management, fai un tour dal vivo, o inizia la tua prova gratuita della piattaforma NinjaOne.

Inizia una prova gratuita

Ti potrebbe interessare anche

Migliori luoghi di lavoro, premio Built In 2025

NinjaOne è stata nominata da Built In tra i 100 migliori luoghi di lavoro

I clienti mettono NinjaOne al primo posto in 12 categorie IT nel report G2 Inverno 2025

SDC Awards 2024

NinjaOne vince agli SDC Awards 2024

Release 7.0: Miglioramenti che porteranno i team IT al livello successivo

La release 7.0 è disponibile: miglioramenti che porteranno i team IT al livello sucessivo!

Guida semplice in 5 fasi per individuare e vendere a manager IT involontari

L’infanzia, l’adolescenza e il V.C.R.: Perché gli MSP devono considerare attentamente il “ciclo di vita delle aziende software” quando decidono di acquistare un prodotto SaaS

Pronto a semplificare le parti più complesse dell'IT?
Inizia una prova gratuita
Richiedi una demo
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.
Accetto