Opis problemu: Chcemy za pomocą aplikacji System Center Operations Manager (SCOM) być powiadamiani, gdy ktoś w naszej sieci doda nowego użytkownika do lokalnej grupy Administratorzy.
SCOM: Dodano użytkownika do lokalnej grupy Administratorzy
Microsoft System Center to zestaw narzędzi, służący do zarządzania fizycznymi i wirtualnymi systemami w środowiskach centrów danych, komputerów klienckich i urządzeń przenośnych. System Center Operations Manager SCOM to narzędzie do monitorowania usług i aplikacji.
Rozwiązanie problemu: Najłatwiej zrobić to sprawdzając, czy nie pojawiło się zdarzenie w Podglądzie zdarzeń (Event Log). Event pojawia się w Dziennikach systemu Windows w Zabezpieczeniach (Security). Numer zdarzenia (Event ID) to 4732 dla Windows Vista/7/8 i 636 dla Windows XP. W przypadku Windows XP, aby taki event się pojawił trzeba włączyć Security logging (w Windows 7 domyślnie powinno być włączone). Włącza się to za pomocą local lub group policy (Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy > Audit account management – Success).
Przystępujemy teraz do utworzenia odpowiedniej zasady (rule) w SCOMie:
- Wchodzimy w Authoring -> Rules i klikamy Create a new rule…
- W pierwszym kroku wybieramy Alert Generating Rules -> Event Based -> NT Event Log. W Management pack wybieramy domyślny (Default Management Pack) lub tworzymy nowy.
- W drugim kroku wpisujemy nazwę zasady (Rule name), opcjonalny opis. Rule Category wybieramy Alert, w Rule target wybieramy dla jakich komputerów zasada ma mieć zastosowanie (np. Windows Computer).
- W Event Log Type wybieramy Security.
- W następnym kroku filtrujemy nasze wyniki. W Event ID wpisujemy 4732 dla Windows 7 lub 636 dla Windows XP (możemy stworzyć dwie osobne zasady lub jedną za pomocą operatora OR). Parameter 3 równa się Administratorzy – dzięki temu dostaniemy Alert tylko w przypadku dopisania do grupy Administratorzy (bez tego byli byśmy informowani o dopisaniu użytkownika do każdej lokalnej grupy).
- Ostatni krok to stworzenie powiadomienia. Domyślnie zostanie wypisany cały opis zdarzenia. Możemy ograniczyć ilość informacji za pomocą zmiennych $Data/Params/Param[x]$ gdzie x to numer parametru z szczegółowego opisu zdarzenia w Event Logu (EventData).
- Klikamy Create
Alerty pojawią się w Monitoring -> Active Alerts.