Netwrix – Alertas e informes sobre GPO, usuarios y restauración de objetos de AD

Hola, continuamos con los artículos sobre Netwrix y auditorias. Hoy vamos a ver como utilizar una parte de las cosas que vienen implementadas en este producto como la gestión de alertas, informes objetos de Active Directory, GPO y restauración de objetos eliminados.. Empezamos con las alertas, es decir puedo habilitar o deshabilitar alertas en tiempo real de mi Directorio Activo.

Dentro de Managed Objects – Active Directory – Rela Time Alerts me aparecen un conjunto de aletas que voy a poder habilitar o deshabilitar. Para Habilitar una alerta hag dobre clic sobre la misma y pulso sobre el check de Enable

También puedo crear mis propias alertas si las existentes no me sirven o son insuficientes

Ahora vamos a visualizar los últimos cambios realizados en Active Directory y a restaurar objetos que fueran eliminados.

Voy a forzar la recopilación de datos tanto de Active Directory como de Group Policy. Para ello hago clic en Managed Objects – dominio.local

Selecciono Active Directoy y pulso sobre Run, de igual forma repito con Group Policy.

Vamos a ver los usuarios creados nuevos

Vemos que se han creado dos, en este periodo, el último Juan no tiene propiedades de Login etc, por que se ha eliminado para que así podáis ver como restaurarlo.

Vemos las directivas y los cambios. Seleccionamos Group policy

Voy a Reports – All Changes – All Group policy Changes

Como veis me saca una información completa sobre la directiva

Vamos a ver un cambio en la directiva de seguridad, para ello he añadido mediante un grupo restringido a los usuarios del dominio al grupo administradores. Vamos a comprobar como Netwrix me detecta el cambio.

Aquí veo ya el cambio

También puedo ver todos los settings de las GPO desde la consola de Netwrix, para ello saco el informe All GPOs with their settings

Otra cosa interesante es el ver que settings tengo duplicados en mis GPOs, como veis a través del informe Duplicate settings in GPOs puedo visualizarlo

Vamos a recuperar un objeto de Directorio Activo. Desde la pantalla de active directory pulso sobre el botón Restore Ad objects

Me aparece el asistente de restauración

Puedo restuarar desde los snapshots que me hace Netwrix o bien desde el tombstone de Active Directory, además escojo el snapshot realizado porque más o menos es cuando he realizado la eliminación.

Seleccionamos

Si no teneis snapshot podeis restaurar desde el tombstone de Active Directory

Algunos os diréis que esto ya está en Windows, y es cierto, pero un método sencillo como este solo está disponible a partir de 2012 con Recycle Bin sino tenemos que utilizar ldp.exe.

Por ultimo os voy a mostrar cómo sacar un informe de los cambios que he realizado durante esta entrada en Directorio Activo. En managed objects – Active Directory – Change viewer – Generate Summary …

Y aquí sale el informe.

Esta herramienta tiene infinidad de informes para la auditoria de todos los objetos de Directorio Activo y la posibilidad de subscribirse a todos ellos. Supongo que como a mi os habrá parecido interesante, en los próximos post os contare más cosas sobre esta herramienta.

Leave a Reply

Your email address will not be published.