我正在寻找一种方法,当“域管理员”组的成员登录时发送电子邮件警报。我们正在运行 Server 2012 R2,Windows Server 中是否有内置功能可以执行此操作?
答案1
答案2
内置于 Windows?不。那将是一个自定义代码/脚本解决方案。需要收集事件日志,当已知是域管理员成员的帐户发生登录事件时,发送电子邮件。
这可能不是一个有效的解决方案,因为:
域管理员组通过成为内置域管理员组的成员而获得大多数权限。因此,如果某个帐户是管理员组的成员,则似乎应该受到相同级别的警告。
根据警报范围内的事件 ID,可能会有很多事件。具体来说,可能会有很多网络登录(类型 3)。
过滤网络事件/仅对交互式登录发出警报将排除由于缓存凭据/被盗凭据哈希而发生的活动。