{"id":411703,"date":"2025-01-10T06:57:56","date_gmt":"2025-01-10T06:57:56","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=411703"},"modified":"2025-01-08T19:07:43","modified_gmt":"2025-01-08T19:07:43","slug":"ninjaone01-monitoraggio-delle-modifiche-agli-utenti-in-active-directory","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/it\/blog\/ninjaone01-monitoraggio-delle-modifiche-agli-utenti-in-active-directory\/","title":{"rendered":"NinjaOne01 – Monitoraggio delle modifiche agli utenti in Active Directory"},"content":{"rendered":"

Nel mondo della tecnologia c’\u00e8 un numero quasi infinito di parti in movimento: configurazioni di rete, Active Directory, utenti che vengono aggiunti e rimossi dai gruppi, dati, sicurezza e molto altro ancora. Cercare di tenere sotto controllo tutto questo pu\u00f2 essere un vero e proprio mal di testa, quindi diamo un’occhiata ad alcuni modi attraverso i quali possiamo registrare le modifiche agli utenti in Active Directory con NinjaOne, per darti un po’ di tempo per respirare!<\/p>\n

Acquisizione di EventID critici e configurazione delle notifiche in NinjaOne<\/h2>\n

Active Directory registra tutte le modifiche degli utenti nel Registro eventi e, sebbene questo sia utile, trovarle nel Registro eventi stesso non sempre si rivela semplice. Active Directory non invia avvisi quando vengono apportate modifiche, cosa che pu\u00f2 essere particolarmente problematica quando gli utenti vengono aggiunti o rimossi dai gruppi di amministratori. Non sarebbe bello poter inserire i log importanti nel registro di controllo di NinjaOne, in modo che siano visibili da un’interfaccia familiare con cui gi\u00e0 lavori quotidianamente?<\/p>\n

\u00c8 possibile, ma per farlo dobbiamo prima di tutto attivare alcuni log aggiuntivi in Active Directory. Per fortuna si tratta solo di un rapido aggiornamento dei GPO. Sul server Active Directory,<\/strong> apri lo snap-in Gestione criteri di gruppo<\/strong>, quindi il criterio predefinito del Domain Controller.<\/strong> Vai poi su Configurazione del computer>Criteri>Impostazioni di Windows>Impostazioni di sicurezza>Configurazione avanzata dell’audit>Gestione account<\/strong> e attiva il criterio Gestione gruppi di sicurezza dell’audit<\/strong>. Per questo esempio dovrai attivare solo l’opzione “successo”, ma puoi attivare anche l’opzione “fallimento” se desideri registrare anche le modifiche non riuscite dell’utente. Questo potrebbe essere utile per eventuale troubleshooting. Affinch\u00e9 queste modifiche abbiano effetto, dovrai riavviare il domain controller o eseguire il comando gpupdate.<\/p>\n

Ora, se un utente viene aggiunto a un gruppo abilitato alla sicurezza come Amministratore di dominio, il Registro eventi creer\u00e0 l’EventID 4728; l’eventID sar\u00e0 invece 4729 se un account viene rimosso da un gruppo abilitato alla sicurezza. Anche soltanto questa informazione \u00e8 estremamente preziosa, ma potresti voler essere in grado di vedere questi dati anche in NinjaOne e magari inviare automaticamente avvisi o creare ticket per questi eventi.<\/p>\n

Per prima cosa, accedi a NinjaOne e vai su Amministrazione>Criteri>Criteri dell’agente<\/strong>. Da qui dovrai modificare un criterio esistente o crearne uno nuovo. Ti consigliamo di creare un nuovo criterio per i server Active Directory. Una volta creato il criterio, sar\u00e0 necessario aggiungere una nuova condizione da monitorare per questo eventID.<\/p>\n

    \n
  1. Nella sezione “Condizioni” dell’editor dei criteri, clicca su “Aggiungi una condizione”.<\/li>\n
  2. Nell’editor delle condizioni, clicca prima di tutto su “Seleziona una condizione”.\n
      \n
    1. Seleziona la condizione “Evento Windows” dal menu a tendina delle condizioni.<\/li>\n
    2. Inserisci “Microsoft-Windows-Security-Auditing” nel nome dell’origine\/provider.
      \nNota:<\/strong> Questo campo deve essere compilato esattamente cos\u00ec, altrimenti la condizione non si attiver\u00e0 correttamente.<\/li>\n
    3. Inserisci gli EventID desiderati digitandoli uno alla volta e premendo invio. In questo caso, come abbiamo detto in precedenza nella guida, abbiamo usato 4729 e 4728 per monitorare gli utenti aggiunti o rimossi dai gruppi abilitati alla sicurezza.
      \nUn consiglio da professionista:<\/strong> Puoi aggiungere altri EventID, come il 4738, per monitorare altre modifiche, anche se suggeriamo di aggiungerli ad altre condizioni, in modo da avere un controllo pi\u00f9 granulare delle impostazioni di notifica, ticket e gravit\u00e0 per i diversi tipi di modifiche.<\/li>\n
    4. Puoi anche aggiungere valori di testo per aumentare la granularit\u00e0.<\/li>\n
    5. Premi “Applica” quando le impostazioni sono di tuo gradimento.
      \n\"Condizione\"<\/li>\n<\/ol>\n<\/li>\n
    6. Assegna un nome alla condizione e configura le impostazioni di gravit\u00e0, priorit\u00e0 e notifica nell’editor delle condizioni.\n
        \n
      1. Puoi impostare Gravit\u00e0 e Priorit\u00e0 per aggiungere informazioni supplementari sulla criticit\u00e0 dell’avviso nelle notifiche.<\/li>\n
      2. Puoi inoltre utilizzare “Canali” per inviare le notifiche a canali di notifica specifici, come un numero di cellulare o un canale Slack, se i canali sono configurati.<\/li>\n
      3. “Notifica ai tecnici” consente di attivare le notifiche ai tecnici assegnati all’organizzazione in cui si trova il dispositivo, in base alle impostazioni di notifica configurate nel loro account.<\/li>\n
      4. Le ‘Regole di ticketing’ consentono di creare automaticamente i ticket quando si verifica la condizione.<\/li>\n<\/ol>\n<\/li>\n
      5. Una volta configurate tutte le impostazioni, clicca su “Aggiungi”.<\/li>\n<\/ol>\n

        \"Condizione\"<\/p>\n

        Ora, con l’aggiunta della nostra condizione, ogni volta che un utente viene aggiunto o rimosso da un gruppo, apparir\u00e0 nel registro delle attivit\u00e0 del dispositivo in NinjaOne e verr\u00e0 creato un avviso nella pagina di panoramica del dispositivo. Se abiliti i canali o le notifiche, verranno inviati anche gli avvisi esterni!<\/p>\n

        Puoi controllare questi avvisi cercando il dispositivo nella griglia Ricerca dispositivo o navigando verso il dispositivo dalla Dashboard. Accanto al dispositivo sar\u00e0 presente un’icona gialla che indica di fare attenzione; cliccando su di essa, verranno visualizzati gli avvisi. Puoi cliccare sul collegamento ipertestuale “Altro” per visualizzare tutti i dettagli del registro eventi, compresi l’utente che \u00e8 stato modificato, il gruppo a cui \u00e8 stato aggiunto o rimosso e l’account che ha avviato la modifica.<\/p>\n

        \"registro<\/p>\n

        In alternativa, se accedi al dispositivo e apri il registro delle attivit\u00e0, potrai visualizzare un registro completo dei vari eventi del dispositivo. Puoi filtrare il tipo per “condizioni” per visualizzare solo le attivit\u00e0 relative alle condizioni. Queste informazioni possono anche essere esportate per audit e altri report, se necessario.<\/p>\n

        Porta il monitoraggio al livello successivo<\/h2>\n

        Seguendo i passaggi descritti, hai creato un modo semplice per essere avvisato delle modifiche critiche ai gruppi AD abilitati alla sicurezza. Come gi\u00e0 detto, puoi creare una condizione diversa per il 4738 o per altri EventID al fine di monitorare, direttamente in NinjaOne, qualsiasi modifica! Potresti fare un ulteriore passo avanti aggiungendo delle automazioni per intervenire quando vengono apportate delle modifiche.<\/p>\n

        L’obiettivo di queste condizioni non \u00e8 quello di eliminare la necessit\u00e0 per i tecnici di esaminare questo tipo di modifiche; piuttosto, \u00e8 quello di attirare la loro attenzione su tali modifiche e creare un registro all’interno di NinjaOne per tenere traccia delle modifiche degli utenti AD e monitorarle.<\/p>\n

        Conoscere le modifiche critiche di Active Directory \u00e8 essenziale per la sicurezza e l’efficienza. L’integrazione di questi log in NinjaOne crea una visione semplificata e centralizzata che fa risparmiare tempo, migliora la visibilit\u00e0 e supporta una gestione proattiva. Che si tratti di monitorare gli EventID chiave o di automatizzare le risposte alle modifiche degli utenti, NinjaOne ti fornisce gli strumenti per essere sempre un passo avanti e per mantenere il tuo ambiente IT sicuro e ottimizzato.<\/p>\n","protected":false},"excerpt":{"rendered":"

        Nel mondo della tecnologia c’\u00e8 un numero quasi infinito di parti in movimento: configurazioni di rete, Active Directory, utenti che vengono aggiunti e rimossi dai gruppi, dati, sicurezza e molto altro ancora. Cercare di tenere sotto controllo tutto questo pu\u00f2 essere un vero e proprio mal di testa, quindi diamo un’occhiata ad alcuni modi attraverso […]<\/p>\n","protected":false},"author":159,"featured_media":379877,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4326],"tags":[],"class_list":["post-411703","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ninjaone-it"],"acf":[],"modified_by":"Sergio Oricci","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/411703","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/users\/159"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/comments?post=411703"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/411703\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media\/379877"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media?parent=411703"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/categories?post=411703"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/tags?post=411703"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}