Active-Directory-Tipp: So richten Sie Benachrichtigungen für Änderungen an Gruppenmitgliedschaften in ADManager Plus ein

Unbefugte oder unabsichtliche Änderungen an den Gruppenmitgliedschaften im Active Directory können weitreichende Folgen für die IT-Sicherheit eines Unternehmens haben. Um potentielle Sicherheitsrisiken frühzeitig zu erkennen oder unbefugte Zugriffe auf kritische Ressourcen zu verhindern, sollten IT-Administratoren Änderungen an den Gruppenmitgliedschaften im Auge behalten.

Am einfachsten geht das mit einem guten AD-Management-Tool wie ADManager Plus von ManageEngine, das es ermöglicht, individuelle Warnmeldungen für bestimmte Ereignisse zu konfigurieren. Einmal eingerichtet, wird das IT-Team – und gegebenenfalls auch der von der Änderung betroffene Anwender und dessen Vorgesetzte – umgehend automatisch informiert, wenn Gruppenzugehörigkeiten verändert werden.

Hinweis: Sofern eine Änderung an einer Gruppe über den ADManager Plus durchgeführt wurde, lässt sich ein Benachrichtigungsprofil einrichten. Führt man die Änderung direkt im Active Directory aus (über die Windows Tools), erfolgt keine Benachrichtigung.

In diesem Tipp zeigen wir Ihnen, wie Sie ein Benachrichtigungsprofil sowie eine individuelle Benachrichtigungsvorlage für Änderungen an Gruppenmitgliedschaften in ADManager Plus erstellen:

ADManager Plus Live-Demo

Wir stellen Ihnen die Funktionen von ADManager Plus gerne in einer unserer regelmäßigen Live-Demos vor - kostenlos und unverbindlich!

Jetzt anmelden!

So erstellen Sie eine individuelle Vorlage für E-Mail- oder SMS-Benachrichtigungen in ADManager Plus

  • Melden Sie sich bei ADManager Plus an und gehen Sie auf die Registerkarte „Admin“.
  • Wählen Sie im Abschnitt „System Settings“ (linke Spalte) die Option „Notification Profile“ aus.
  • Klicken Sie oben rechts auf den Button „Create New Profile“.
  • Geben Sie einen geeigneten Profilnamen sowie eine Beschreibung für das Benachrichtigungsprofil ein.
  • Wählen Sie bei „Profile Criteria“ in der ersten Dropdown-Liste „Action“ und in der zweiten Dropdown-Liste den Konnektor „Is“ aus.
  • Klicken Sie nun auf das Plus-Symbol, um die eigentlichen Aktionen auszuwählen, bei denen eine Benachrichtigung verwendet werden soll. In der jetzt erscheinenden Auswahl werden bereits alle Aktionen zur Benutzerverwaltung angezeigt.
  • Wählen Sie nun im Abschnitt „General Attributes“ die Option „Group Attributes“ aus und klicken Sie auf „OK“, um die folgenden Änderungen zu überwachen:
    • Hinzufügen eines Anwenders zu einer Gruppe
    • Löschen eines Anwenders aus einer Gruppe
    • Festlegen einer primären Gruppe
    • Löschen aller Gruppenmitgliedschaften
  • Falls Sie nur ausgewählte Änderungen wie das Hinzufügen eines Users zu einer Gruppe überwachen möchten, klicken Sie auf das „+“, markieren die gewünschten Optionen und klicken auf „OK“.
  • Klicken Sie auf das Stiftsymbol neben „Notification Template“, um eine vorhandene Benachrichtigungsvorlage auszuwählen oder eine neue Vorlage zu erstellen (siehe „So erstellen Sie eine neue Vorlage für E-Mail- oder SMS-Benachrichtigungen).
  • Klicken Sie auf „OK“.
  • Klicken Sie auf „Save“.
Screenshot ADManager Plus: Benachrichtigung anlegen
Screenshot ADManager Plus: So erstellen Sie ein Benachrichtigungsprofil, um Änderungen an Gruppenmitgliedschaften zu überwachen.

Hinweis:
Mit der AD-Change-Management-Lösung ADAudit Plus von ManageEngine können Sie sich übrigens verschiedene Berichte zu kürzlich geänderten Gruppen anzeigen lassen. Wie das funktioniert, haben wir hier detailliert beschrieben.

So erstellen Sie eine individuelle Vorlage für E-Mail- oder SMS-Benachrichtigungen in ADManager Plus

  • Klicken Sie auf die Registerkarte „Admin“.
  • Wählen Sie im Abschnitt „System Settings“ (linke Spalte) die Option „Notification Profile“ aus. Klicken Sie oben rechts auf „Notification Template“.
  • Klicken Sie auf „Create New Template“.
  • Vergeben Sie einen geeigneten Namen und eine Beschreibung für Ihre Vorlage.
  • Wählen Sie in der Dropdown-Liste bei „Send Notification via“ aus, ob Sie die Benachrichtigung per E-Mail, SMS oder beides versendet werden soll.
  • Falls Sie die Benachrichtigung per E-Mail versenden möchten:
    • Wählen Sie „E-Mail“ aus und geben Sie die E-Mail-Adresse(n), an die die Benachrichtigung gesendet werden soll, in das Feld „Send Notification to“ ein. Sie können die E-Mail-Adresse(n) entweder aus der vorhandenen Liste auswählen oder direkt eingeben.
    • Tragen Sie den gewünschten Betreff der E-Mail in das Feld „Subject“ ein.
    • Im Feld „Message“ können Sie den Inhalt der Benachrichtigungs-Mail eingeben. Falls Sie spezifische Details im Zusammenhang mit der auslösenden Aktion einfügen möchten, verwenden Sie die Macros, die neben dem Feld „Message“ aufgeführt sind. So können Sie beispielsweise auch die Domäne, in der die Aktion stattgefunden hat, den Ausführungszeitpunkt, den Techniker, der die Aktion ausgeführt hat, und vieles mehr festlegen.
    • Falls Sie die Benachrichtigung lieber als Anhang versenden möchten, wählen Sie die Option „Attachment Type“ sowie das gewünschte Format (PDF, HTML, XLSX).

Beispielnachricht:
Verwenden Sie die folgenden Makros (Sie erkennen diese an den „%“-Zeichen vor und nach dem Makro-Namen) im Benachrichtigungstext, um zu erfahren, welcher User in welche Gruppe hinzugefügt bzw. aus welcher Gruppe gelöscht wurde:

Hallo,
ein User wurde zu einer Gruppe hinzugefügt / aus einer Gruppe gelöscht:
Username: Username: %Username%
Aktion / Gruppenname: %memberof%

Zusatztipp:
Falls Sie den Vorgesetzten des Users benachrichtigen möchten, verwenden Sie das Makro %Users'sManager% im Feld Send Notification to“.

  • Falls Sie die Benachrichtigung per SMS versenden möchten:
    • Wählen Sie „SMS“ aus und geben Sie bei „Phone Number“ die Telefonnummer(n) der Anwender ein, die eine SMS erhalten sollen.
    • Verwenden Sie die Macros neben dem Feld „Message“, um spezifische Details der auslösenden Aktion einzufügen, z. B. die Domäne, in der die Aktion stattfand, die Uhrzeit, zu der die Aktion ausgeführt wurde, den Techniker, der die Aktion ausgeführt hat, und vieles mehr.
  • Falls Sie die Benachrichtigung per E-Mail und SMS versenden möchten, wählen Sie bitte „Both“ und füllen die eingeblendeten Felder wie oben beschrieben aus.
  • Klicken Sie auf „Save“.

Über ADManager Plus

ManageEngine ADManager Plus ist eine Identity-Governance- & -Administration(IGA)-Lösung, die IT-Administratoren bei der Verwaltung und Berichterstellung für Active Directory, Microsoft 365, Exchange und Google Workspace unterstützt. Sie vereinfacht und automatisiert u. a. zahlreiche AD-Routineaufgaben, wie das Erstellen, Konfigurieren oder Ändern mehrerer Benutzerkonten in einem Arbeitsschritt oder das Management von Gruppen und Computern.

ManageEngine – Support & Kontakt


MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   Support kontaktieren