Le blog technique

Toutes les astuces #tech des collaborateurs de PI Services.

#openblogPI

Voir tous les articles

Retrouvez les articles à la une

[Le saviez vous ?] – Modification du groupe « Schema Admins » quels évènements surveiller ?

par | 30 Nov 2025 |

Lorsqu’une modification du groupe à privilèges ‘Schema Admins‘ est réalisée dans l’Active Directory, un Event Id est déclenché dans le journal d’évènement « Security » du contrôleur de domaine.

Voilà pourquoi il est important d’activer les journaux d’audit et d’ajouter ces évènements dans votre système de monitoring (Siem, Scripts Powershell, Scom, Zabbix….).

L’ajout de membre

Lorsqu’un compte est ajouté aux membres du Groupe ‘Schema Admins‘, l’évènement 4756 apparait dans les journaux de sécurité du contrôleur de domaine, malheureusement cet Event Id ne remonte pas que les modifications du groupe ‘Schema Admins’, il vous faudra donc ajouter un peu de filtrage en parcourant le Message de l’évènement.

La suppression de membre

Lorsqu’un compte est retiré des membres du Groupe ‘Schema Admins‘, l’évènement 4757 apparait dans les journaux de sécurité du contrôleur de domaine, tout comme pour l’ajout, il vous faudra donc ajouter un peu de filtrage en parcourant le Message de l’évènement.

Attention

Les groupes « Schema Admins » et « Enterprise Admins » partagent le même Id pour l’ajout et la suppression de membres (4756 et 4757), faites donc attention à la configuration de vos filtres et alertes.

[Le saviez vous ?] – Modification du groupe « DNS Admins » quels évènements surveiller ?

par | 30 Nov 2025 |

Lorsqu’une modification du groupe à privilèges ‘DNS Admins‘ est réalisée dans l’Active Directory, un Event Id est déclenché dans le journal d’évènement « Security » du contrôleur de domaine.

Voilà pourquoi il est important d’activer les journaux d’audit et d’ajouter ces évènements dans votre système de monitoring (Siem, Scripts Powershell, Scom, Zabbix….).

L’ajout de membre

Lorsqu’un compte est ajouté aux membres du Groupe ‘DNS Admins‘, l’évènement 4732 apparait dans les journaux de sécurité du contrôleur de domaine, malheureusement cet Event Id ne remonte pas que les modifications du groupe ‘DNS Admins’, il vous faudra donc ajouter un peu de filtrage en parcourant le Message de l’évènement.

La suppression de membre

Lorsqu’un compte est retiré des membres du Groupe ‘DNS Admins‘, l’évènement 4733 apparait dans les journaux de sécurité du contrôleur de domaine, tout comme pour l’ajout, il vous faudra donc ajouter un peu de filtrage en parcourant le Message de l’évènement.

[Le saviez vous ?] – Modification du groupe « Schema Admins » quels évènements surveiller ?

par | 30 Nov 2025 |

Lorsqu’une modification du groupe à privilèges ‘Enterprise Admins‘ est réalisée dans l’Active Directory, un Event Id est déclenché dans le journal d’évènement « Security » du contrôleur de domaine.

Voilà pourquoi il est important d’activer les journaux d’audit et d’ajouter ces évènements dans votre système de monitoring (Siem, Scripts Powershell, Scom, Zabbix….).

L’ajout de membre

Lorsqu’un compte est ajouté aux membres du Groupe ‘Enterprise Admins‘, l’évènement 4756 apparait dans les journaux de sécurité du contrôleur de domaine, malheureusement cet Event Id ne remonte pas que les modifications du groupe « Schema Admins », il vous faudra donc ajouter un peu de filtrage en parcourant le Message de l’évènement.

La suppression de membre

Lorsqu’un compte est retiré des membres du Groupe ‘Enterprise Admins‘, l’évènement 4757 apparait dans les journaux de sécurité du contrôleur de domaine, tout comme pour l’ajout, il vous faudra donc ajouter un peu de filtrage en parcourant le Message de l’évènement.

Attention

Les groupes ‘Enterprise Admins‘ et ‘Schema Admins‘ partagent le même Id pour l’ajout et la suppression de membres (4756 et 4757), faites donc attention à la configuration de vos filtres et alertes.

Derniers articles

Catégories

Archives

Auteurs/Autrices