Active Directory y MOM

Por: Ricardo Gomez Rey

Hola amigos, ya hace tiempo sin escribir acerca de nuestros temas de Management, durante la semana un Manager me compartió un email que le mandaron contándole o mejor haciéndole referencia a unos documentos internos de cómo sacarle el jugo a MOM con el active Directory y me pareció un buen tema para nuestra audiencia semanal. Me pareció buena idea porque he tenido casos donde nuestros clientes nos preguntan cómo hacer este tipo de cosas y no tenemos ninguna referencia publica al respecto. El tema del blog de hoy es cómo podemos detectar cambios de AD con MOM, y nos vamos a enfocar en como auditar el Schema y las creaciones o borrados de OUs, si el tercer tema es cómo resolver security GUIDs con MOM, acerca de esto hay un articulo el cual les puede ayudar , así que no lo voy a tocar, el artículo es:

904740 How to enable Microsoft Operations Manager 2000 and Microsoft Operations Manager 2005 to resolve security GUIDs and SIDs

https://support.microsoft.com/default.aspx?scid=kb;EN-US;904740

El primer tema es el cómo auditar las escrituras o los cambios de permisos usando MOM.

Primero debemos habilitar la auditoría sobre los objetos que queremos hacer, para esto debemos usar adsiedit.msc, lo pueden instalar de las herramientas de soporte del CD de Windows 2003. Entonces una vez ya tengan instalada la herramienta, debemos abrirla e ir al contenedor que queremos auditar.

Para cambios en el Schema obviamente debemos de seleccionar el folder bajo Schema. No debemos de causar mucho trabajo extra a los servidores habilitando la auditoria a este nivel ya que las escrituras al Schema no son muy frecuentes.

Para cambios de permisos debemos probablemente de monitorear el contenedor de Controladores de dominio o los contenedores de los servidores de Exchange. Debemos tener cuidado con monitorear todos los accesos de “sucess/failure” aun si seleccionamos solo un par de cuentas, ya que nos podría causar gran cantidad de alertas. En vez de esto deberíamos solo habilitar la auditoria de modificación de permisos “Modify Permissions”

Entonces para empezar debes hacer clic derecho sobre el objeto que queremos auditar, vamos a seguridad, avanzado, auditoria. Adicionamos el nombre de la cuenta que queremos auditar, vamos a “apply onto” y debería ser seleccionado este objeto y todos los hijos, debajo de la columna de Sucess debemos seleccionar modificar permisos.

Recuerden que para que la auditoria se pueda habilitar, se debe tener habilitado la política de Auditing directory service Access nivel de domino o local; para verificar esto se puede abrir la consola gpedit.msc y expandir Computer Configuration, Windows Settings, Security Settings, Local Policies, Audit Policy.

Una vez que se ha configurado y si realizamos un cambio de un permiso sobre el objeto que estábamos auditando se nos va a generar un evento en el security event viewer 566 que contiene la cuenta la cual hizo el cambio, un ejemplo de este lo podemos ver a continuación:

Event Type: Success Audit

Event Source: Security

Event Category: Directory Service Access

Event ID: 566

Date: 11/15/2004

Time: 2:35:33 PM

User: Domain\Administrator

Computer: server1

Description:

Object Operation:

Object Server: DS

Operation Type: Object Access

Object Type: computer

Object Name: CN=NewTestComputer,CN=Computers,DC=domain,DC=net

Handle ID: -

Primary User Name: Server1$

Primary Domain: domain

Primary Logon ID: (0x0,0x3E7)

Client User Name: Administrator

Client Domain: Domain

Client Logon ID: (0x0,0x2AB83)

Accesses: WRITE_DAC

Properties:

WRITE_DAC

computer

Additional Info:

Additional Info2:

Access Mask: 0x40000

Ahora que sabemos cuál es la información, ya solo es ir a MOM y crear y nuevo Rule Group modificar el event rule que cuadra con el criterio que vimos en el ejemplo y asociarlo con el nuevo Rule Group o alguno existente que ya tenga el computador.

En cuanto al segundo tema es un issue conocido y es que si quieren editar la creación o borrado de OU’s dentro del directorio activo cuando revisan la alerta van a recibir el GUID de la OU y va a quedar un poco complicado de encontrar el GUID si esta fue borrada, para esto debemos de seguir el artículo que les mencione al inicio del artículo, el 904770 y habilitar la llave del registro en MOM.

Bueno amigos es todo por esta semana, espero poder estar contacto con ustedes más frecuentemente. Recuerden si tienen preguntas o quieren tratar algún tema en especial no duden don contactarme a través de los comentarios del blog.