Lorsque l’on souhaite superviser la modification de groupes à privilèges dans l’Active Directory il faut surveiller les Events suivants:
- EventId 4728: Ajout d’un membre dans le groupe
- EventId 4729: Retrait d’un membre dans le groupe
Script
A l’aide des quelques lignes de Powershell ci dessous, vous pourrez superviser la modification de ce groupe.
Pour cela il vous est possible de l’intégrer dans une boucle à intervalle de 30 secondes (c’est le plus petit intervalle de temps que j’ai eu l’occasion d’essayer sur un AD de production) et d’envoyer les alertes par Mail ou dans un canal Teams via Microsoft Graph ou un relai SMTP.
Note:
Il faudra toutefois prendre soins de remplacer la commande « Write-Host » (présente pour le lab) par la méthode qui vous convient le mieux (Variable, sortie dans un fichier de logs, envoie de mail…).
# Check Modification Time for Domain Admins
$DomainAdminsProperties = Get-ADGroup "Domain Admins" -Properties Modified -Server $PDC
$LastModifiedDay = ($DomainAdminsProperties.modified).ToString("yyyy-MM-dd")
$Details = $DomainAdminsProperties.modified
$StorageDomain = $Details
# Looking for check if a modification was made today
If (($LastModifiedDay -eq $FullDate) -and ($Details -ne $LastModificationTimeDomain)) {
$EventDomainAdmin = Get-WinEvent -ComputerName $PDC -FilterHashtable @{LogName='Security';Id=4728,4729} -MaxEvents 200 | where {$_.TimeCreated -match $Details}
$EventDomainAdmin | foreach {
$TimeCreated = $_.TimeCreated
$DomainAdminAction = $_
If($DomainAdminAction.Properties[2].value -eq 'Domain Admins') {
$By = $DomainAdminAction.Properties[6].value
$Account = $DomainAdminAction.Properties[0].value
Switch ($DomainAdminAction.ID) {
4728 {
Write-Host "$Account was added by $By on Domain Group at $Details"
}
4729 {
Write-Host "$Account was removed by $By on Domain Group at $Details"
}
}
}
}
$LastModificationTimeDomain = $StorageDomain
}
Else {
$LastModificationTimeDomain = $StorageDomain
}
# Release
$DomainAdminsProperties = $null
$LastModifiedDay = $null
$Details = $null

0 commentaires