March 17, 2010

Buscando cambios en la membresía de un grupo.

Es de cierta forma común que de alguna u otra manera se remuevan miembros de un grupo y luego por alguna razón necesitamos saber quiénes eran los miembros de este (excelente eso de no documentar)… por ende vamos a mirar una forma rápida de averiguar esto. Para lo cual utilizaremos la herramienta repadmin.
Vamos a ejecutar el siguiente comando: repadmin /showobjmeta "nombreServidor" "DN del objeto" (repadmin /showobjmeta GURU-DC007 CN=testGroup,OU=domainGroups,DC=daemonroot,DC=com)
Del output nos importan los siguientes detalles:

Type Attribute Last Mod Time Originating DC Loc.USN Org.USN Ver ======= ============ ============= ================= ======= ======= ===
Distinguished Name =============================

PRESENT member 2010-01-27 20:20:02 daemonrootHQ\GURU-DC015 276715089 277715102 1 CN=ruffo.ee,OU=domainUsers,DC=daemonroot,DC=com
PRESENT member 2010-01-13 19:49:39 daemonrootHQ\GURU-DC007 273577311 337396944 11 CN=porchak.ml,OU=domainUsers,DC=daemonroot,DC=com
PRESENT member 2010-01-13 19:46:32 daemonrootHQ\GURU-DC007 273576011 337394983 11 CN=mcclenaghan.da,OU=domainUsers,DC=daemonroot,DC=com
ABSENT member 2010-01-05 15:58:36 daemonrootHQ\GURU-DC016 271672373 271672373 2 CN=perce.kh,OU=domainUsers,DC=daemonroot,DC=com
ABSENT member 2009-12-22 17:50:00 daemonrootHQ\GURU-DC016 268903788 268903788 6 CN=mcfarland.j,OU=domainUsers,DC=daemonroot,DC=com
PRESENT member 2010-01-13 19:42:08 daemonrootHQ\GURU-DC007 273573792 337391465 11 CN=gryfe.b,OU=domainUsers,DC=daemonroot,DC=com

Aquellas líneas marcadas como “ABSENT” se refieren a un vínculo borrado, un vinculo del miembro hacia el grupo, algo como un tombstone ya que así lo maneja AD.
Entonces acá podemos saber cuáles membresías fueron/están borradas y también la fecha e inclusive el nombre del controlador en que realizo la transacción :)
Para referencia acá esta la última versión del documento de la herramienta repadmin http://www.microsoft.com/downloads/details.aspx?FamilyID=c6054092-ee1e-4b57-b175-5aabde591c5f&displayLang=en
Y para los que ya dieron el salto a Windows Server 2008 pues también pueden usar el grandioso auditpol.exe http://support.microsoft.com/default.aspx/kb/921469?p=1
Saludos!

No comments:

Post a Comment