Să presupunem că sarcina noastră este să configurați notificarea administratorului de securitate cu privire la blocarea contului de utilizator în Active Directory.
Consiliul. Am ales aceste evenimente pentru claritate. De fapt, domeniul de aplicare al acestei funcționalități este destul de larg. Acestea pot fi, de exemplu, notificări despre oprirea unui anumit serviciu Windows, lansarea unui anumit program pentru a finaliza copia de rezervă Exchange. notificarea modificărilor în grupurile de securitate Active Directory sau modificări la anumite dosare sau fișiere etc.
Evenimentul de blocare a contului din AD este notat pe controlerul de domeniu din jurnalul de securitate. ID-ul evenimentului de blocare este 4740. Deschideți consola Event Viewer (eventvwr.msc) și căutați evenimentul care ne interesează. Faceți clic pe acesta PCM și selectați elementul AttachTaskToThisEvent (Atașați sarcina la acest eveniment).
Consiliul. Dacă trebuie să legați un declanșator de setul EventID, trebuie să le specificați folosind o virgulă.
Declanșatorul este activ. Acum când blocați orice cont AD - o scrisoare de notificare va fi trimisă la adresa de e-mail specificată.
eventtriggers / crea / TR "Cont Lock" / TK "C: \ WINDOWS \ System32 \ windowspowershell \ v1.0 \ powershell.exe c: \ script \ SendEmail.ps1" / L Securitate / EID 4740
Securitate / q: "* [Sistem [(EventID = 4740)]]" / f: text / rd: true / c: 1
Creați un script (query.cmd) din două rânduri: prima șterge fișierul vechi cu jurnalul, al doilea - descărcări ultimul eveniment din jurnal și salvarea acestuia în fișierul jurnal:
del c: \ script \ query.txt
wevtutil QE Securitate / q: "* [Sistem de [(EventID = 4740)]]" / f: text / rd: true / c: 1> c: \ script \ query.txt
Rămâne să deschideți setările declanșatorului creat anterior în jurnalul de planificare a sarcinilor. În fila Acțiuni, adăugați o nouă acțiune - rulați interogarea script.cmd. Apoi trebuie să schimbați ordinea acțiunilor, mutați-o în partea de sus a listei folosind săgețile din dreapta (scriptul ar trebui executat mai întâi).
Notă. În exemplul nostru, pentru ca sarcina să funcționeze corect, trebuie să o executați cu privilegii ridicate. Pentru a face acest lucru, în setările sale trebuie să setați caseta de selectare Runwithhighestprivileges.
Vom testa sarcina din nou. Acum administratorul va primi un e-mail cu un atașament care conține informații despre numele contului blocat, timpul de blocare și alte informații utile.
Consiliul. Utilizarea funcției de declanșare a evenimentelor din fereastră pentru a notifica administratorul cu privire la problemele serioase cu serverul nu reprezintă o înlocuire completă a sistemului de monitorizare, cum ar fi System Center Operations Manager și Zenoss. Cu toate acestea, ca un simplu built-in de monitorizare și raportare pentru întreprinderile mici care nu necesită investiții în introducerea și instruirea personalului, împreună cu capacitatea de a consolida jurnalele de la mai multe servere (Evenimente) Transmis, este destul de ușor de utilizat.