Opublikowano 26 lutego 2014 przez

SCOM: Dodano użytkownika do grupy Administratorzy

Opis problemu: Chcemy za pomocą aplikacji System Center Operations Manager (SCOM) być powiadamiani, gdy ktoś w naszej sieci doda nowego użytkownika do lokalnej grupy Administratorzy.

SCOM: Dodano użytkownika do lokalnej grupy Administratorzy

Microsoft System Center to zestaw narzędzi, służący do zarządzania fizycznymi i wirtualnymi systemami w środowiskach centrów danych, komputerów klienckich i urządzeń przenośnych. System Center Operations Manager SCOM to  narzędzie do monitorowania usług i aplikacji.

Rozwiązanie problemu: Najłatwiej zrobić to sprawdzając, czy nie pojawiło się zdarzenie w Podglądzie zdarzeń (Event Log). Event pojawia się w Dziennikach systemu Windows w Zabezpieczeniach (Security). Numer zdarzenia (Event ID) to 4732 dla Windows Vista/7/8 i 636 dla Windows XP. W przypadku Windows XP, aby taki event się pojawił trzeba włączyć Security logging (w Windows 7 domyślnie powinno być włączone). Włącza się to za pomocą local lub group policy (Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy > Audit account management – Success).

Przystępujemy teraz do utworzenia odpowiedniej zasady (rule) w SCOMie:

  1. Wchodzimy w Authoring -> Rules i klikamy Create a new rule…
  2. W pierwszym kroku wybieramy Alert Generating Rules -> Event Based -> NT Event Log. W Management pack wybieramy domyślny (Default Management Pack) lub tworzymy nowy.scom system center operation manager administratorzy
  3. W drugim kroku wpisujemy nazwę zasady (Rule name), opcjonalny opis. Rule Category wybieramy Alert, w Rule target wybieramy dla jakich komputerów zasada ma mieć zastosowanie (np. Windows Computer).Dodawanie administratorów rule zasada scom 2012 r2
  4. W Event Log Type wybieramy Security.
  5. W następnym kroku filtrujemy nasze wyniki. W Event ID wpisujemy 4732 dla Windows 7 lub 636 dla Windows XP (możemy stworzyć dwie osobne zasady lub jedną za pomocą operatora OR). Parameter 3 równa się Administratorzy – dzięki temu dostaniemy Alert tylko w przypadku dopisania do grupy Administratorzy (bez tego byli byśmy informowani o dopisaniu użytkownika do każdej lokalnej grupy).Rule Event ID Evnet Log System Center Operation Manager
  6. Ostatni krok to stworzenie powiadomienia. Domyślnie zostanie wypisany cały opis zdarzenia. Możemy ograniczyć ilość informacji za pomocą zmiennych $Data/Params/Param[x]$ gdzie x to numer parametru z szczegółowego opisu zdarzenia w Event Logu (EventData).Alert na podstawie Event ID w OpsMgr 2012 R2
  7. Klikamy Create

Alerty pojawią się w Monitoring -> Active Alerts.

VN:F [1.9.22_1171]
Rating: 0.0/5 (0 votes cast)
Podziel się na:
  • Digg
  • del.icio.us
  • Facebook
  • Mixx
  • Google Bookmarks
  • Blogplay
  • Wykop
  • Dodaj do ulubionych
  • email
  • Gadu-Gadu Live
  • Twitter
  • Śledzik
  • co-robie
  • Forumowisko
  • Reddit
  • Spis

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>