Netwrix Active Directory Change Reporter arbeitet als geplante Aufgabe auf dem Exchange-Server. Die Nachverfolgung der Änderungen erfolgt also nicht in Echtzeit, sondern Sie können Zeitpunkt auswählen, an dem das Tool Änderungen in der Umgebung untersucht und automatisiert E-Mails an bestimmte Empfänger versendet. Den Zeitpunkt der Aufgabe können Sie in der Aufgabenverwaltung, nach der Einrichtung des Tools steuern.
Wurden Änderungen durchgeführt, sehen Sie auch welche das sind. Sie erkennen zum Beispiel wenn Rechte geändert wurden, oder Mitgliedschaften in bestimmten Gruppen. Dabei werden die genauen Details der Änderungen angezeigt.. Die kostenpflichtige Variante zeigt außerdem noch an, wer die Änderungen durchgeführt hat, und wann die Änderungen durchgeführt wurden. Die Informationen der kostenlosen Version reichen aber in den meisten Fällen aus. Die geplante Aufgabe können Sie auch manuell jederzeit starten.
Netwrix Active Directory Change Reporter installieren und einrichten
Die Einrichtung ist im Grunde genommen sehr einfach. Sie installieren das Tool auf dem Exchange-Server und starten die Einrichtung. In den Optionen aktivieren Sie zunächst die Überwachung mit Enable Active Directory Change Reporter. Danach legen Sie fest, was Sie alles überwachen wollen. Am besten aktivieren Sie dazu Enable Group Policy Change Reporter und Enable Exchange Change Reporter.
Im Anschluss legen Sie fest, welche Domäne Sie überwachen wollen und an wen Sie die Berichte senden wollen, die das Tool erstellt. Neben einzelnen Postfächern oder externen Empfängern können Sie auch öffentliche Ordner und Verteilerlisten verwenden.
Außerdem legen Sie im Tool noch fest über welchen SMTP-Server die Berichte gesendet werden sollen. Hier bietet sich der lokale Exchange-Server oder eben ein anderer Server an, der SMTP-E-Mails empfangen kann. Achten Sie auch auf den korrekten Port. Mit der Schaltfläche Verify überprüfen Sie Ihre Einstellungen. Mit dieser Schaltfläche werden erste Test-E-Mails gesendet. Über den Bereich Reports legen Sie mit Configure die Berichte fest, die das Tool versenden soll.
Netwrix Change Viewer - Änderungen jederzeit nachvollziehen
Darüber hinaus Sie mit dem Tool Netwrix Change Viewer auf dem Exchange-Server jederzeit einen umfassenden Bericht erstellen lassen, welche Änderungen in der Exchange-Umgebung in einem bestimmten Zeitraum durchgeführt wurden.
Im Tool wählen Sie aus, für welches Überwachungsmodul Sie den Bericht erstellen wollen. Hier stehen Active Directory, Group Policy und Exchange zur Verfügung. Anschließend öffnet sich ein Bericht im HTML-Format und zeigt die Änderungen an.
Event Log Consolidation, Reporting and Alerting Tool - Ereignisanzeigen überwachen
Die Hersteller von Netwrix Active Directory Change Reporter bieten noch das kostenlose Tool Event Log Consolidation, Reporting and Alerting Tool. Mit diesem können Sie die Ereignisanzeigen Ihrer Server überwachen und ebenfalls Berichte erstellen lassen. Die beiden Tools ergänzen sich hervorragend. Sie müssen Event Log Consolidation, Reporting and Alerting Tool auf dem Server installieren und danach über die Startseite die Einrichtung starten.
Im NetWrix Event Log Manager aktivieren Sie die Überwachung zunächst und tragen die Server ein, die Sie überwachen wollen. Auch hier können Sie wieder Berichte per E-Mail versenden lassen. Die anderen Einstellungen im Fenster sind nur optional und werden am Anfang nicht benötigt.
Wurden die Ereignisse der verschiedenen Server gesammelt, versendet das Tool eine E-Mail an die gewünschten Empfänger. Über das Tool Viewer auf dem Server wählen Sie jetzt aus, welche Ereignisanzeige der überwachten Sie Server anzeigen lassen wollen.
Danach erstellt das Tool auf Basis der von Ihnen eingegebenen Daten eine EVT-Datei. Diese können Sie zum Beispiel auch mit dem windows-internen Ereignisviewer ansehen und überprüfen. Die EVT-Datei enthält nur genau die Daten, die Sie im Viewer konfiguriert haben.
Exchange-Administratoren mit Bordmitteln überwachen
Seit Exchange Server 2010 haben Sie die Möglichkeit Änderungen, die Administratoren am System durchführen, zu überprüfen und nachzuvollziehen. Dazu verwendet Exchange unter anderem die Administrator-Überwachungsprotokollierung.
Nach der Installation protokolliert Exchange alle Änderungen am System automatisch. Jedes CMDlet das Administratoren ausführen, erzeugt einen Protokolleintrag. Da alle Änderungen im System, auch in der Exchange-Verwaltungskonsole, auf CMDlets der Exchange-Verwaltungsshell aufbauen, lassen sich damit alle Konfigurationsänderungen von Administratoren erfassen.
Wollen Sie Änderungen an der Protokollierung vornehmen, verwenden Sie das CMDlet Set-AdminAuditLogConfig mit der Option -AdminAuditLogCmdlets. Nach der Option -AdminAuditLogCmdlets schreiben Sie eine Liste der CMDlets, die Sie überwachen wollen. In der Liste können Sie auch mit dem Platzhalter * arbeiten um mehrere CMDlets zu überwachen, zum Beispiel mit *mailbox* alle CMDlets in denen "mailbox" vorkommt.
Wollen Sie nur einige Optionen der überwachten CMDlets im Protokoll aufnehmen, also nicht alle möglichen Optionen aller CMDlets überwachen, verwenden Sie noch die Option -AdminAuditLogParameters des CMDlets Set-AdminAuditLogConfig. Mit dieser Option legen Sie, ebenfalls mit einer kommagetrennten Liste, die zu überwachenden Optionen der CMDlets fest. Auch hier können Sie mit dem Platzhalter arbeiten, zum Beispiel Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address.
Wollen Sie die aktuellen Einstellungen der Protokollierung anzeigen, verwenden Sie am besten das CMDlet Get-AdminAuditLogConfig | fl. Dieses zeigt in einer formatierten Liste alle Einstellungen an die für die Protokollierung aktiviert und gesetzt sind.
Sie können die Protokollierung jederzeit testen und durchgeführte Änderungen anzeigen. Dazu nehmen Sie einfach eine Änderung am System vor, welche die Protokollierung überwacht. Da nach der Installation von Exchange Server 2010/2013 die Überwachung ohnehin aktiv ist, können Sie für den ersten Test die Standardeinstellungen verwenden:
1. Rufen Sie die Exchange-Systemsteuerung als Administrator auf über den Link https://<Servername>/ecp. So erreichen Sie in Exchange Server 2013 auch das Exchange Admin Center.
2. Klicken Sie dann auf Rollen und Überwachung\Überwachung und dann auf Administratorüberwachungsprotokoll exportieren.
3. Es öffnet sich ein neues Fenster in dem Sie den Zeitraum auswählen können von dem Sie das Überwachungsprotokoll anzeigen lassen wollen.
4. In diesem Fenster wählen Sie auch aus, zu welchem Postfach der Exchange-Server das Protokoll senden soll.
5. Klicken Sie auf Exportieren um den Exportvorgang zu starten.
Änderungen in der Ereignisanzeige anzeigen
Exchange protokolliert zwar viele Änderungen in der Ereignisanzeige des Servers. Um Änderungen in der Ereignisanzeige anzuzeigen, gehen Sie folgendermaßen vor:
1. Geben Sie eventvwr ein und starten Sie die Ereignisanzeige.
2. Navigieren Sie zu Anwendungs- und Dienstprotokolle\Microsoft\MSExchange Management.
3. Im rechten Bereich sehen Sie alle durchgeführten Änderungen, allerdings nicht wer die Änderung durchgeführt hat.
Neben der Überwachung einzelner Administratoren, sollten Sie in regelmäßigen Abständen auch die generelle Vergabe der Berechtigungen zur Verwaltung der Exchange-Organisation überprüfen. Mit der Option GetEffectiveUsers des Cmdlets Get-ManagementRoleAssignment, können Sie anzeigen welchen Benutzern die Berechtigungen einer Verwaltungsrolle gewährt sind:
Get-ManagementRoleAssignment -Role <Verwaltungsrolle> -GetEffectiveUsers
Wollen Sie nur einen bestimmten Benutzer anzeigen, geben Sie die mit Get-ManagementRoleAssignment erstellte Liste an das Cmdlet Where weiter:
Get-ManagementRoleAssignment -Role <Verwaltungsrolle> -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "<Name des Benutzers>" }
Wollen Sie alle Verwaltungsrollen anzeigen die Sie einem Benutzer zugewiesen haben, verwenden Sie zum Beispiel den Befehl
Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "<Name des Benutzers>" }