Как ослеживать изменения в группе локальных администраторов?
Есть несколько серверов, где доменные пользователи в группе локальных администраторов.
Требуется мониторить изменения в группе Локальных админов. Чтоб не появлялись новые админы.
Как можно такое провернуть через ZABBIX?
PS. И не говорите что не нужно давать права админов. Знаю! И это моя больная мозоль. Но увы не все решают сисадмины. Проблема в том, что пользователи получив права начинают творить отсебятину. Хочется как-то это отслеживать.
Если что еще посоветуете, буду премного благодарен.
Zabbix Agent умеет же заглядывать в системные журналы Windows - можно на серверах в Security Log ловить события 4732 (добавление в группу) и/или 4733 (удаление из группы), у которых TargetSid равен S-1-5-32-544
Можно через политики GPO чистить эту группу и добавлять в нее только тех администраторов, которые необходимы.
Все добавленные вручную будут выкинуты из группы при очередном применении политики.
Нужно не добавлять и не ограничивать
Нужно контролироваться, чтоб новые админы не появлялись.
Другими словами - появился новый локальный админ - Сразу должно прийти уведомление
