En el siguiente script de PowerShell, recopilo reglas de auditoría de Active Directory para una unidad organizativa específica, verifico si existe alguna regla de auditoría para una falla y agrego una regla de auditoría de falla si no existe. Todo funciona hasta el último paso de agregar la regla de falla. No hay ningún mensaje de error, pero la nueva regla no aparece en el directorio activo.
#find the needed OU
Import-Module activedirectory
Set-Location ad:
dir
#get an acl object based for the OU
$acl = Get-Acl -Path "DC=something,DC=somethingElse" -Audit
$auditRules = $acl.GetAuditRules(1,1,[System.Security.Principal.SecurityIdentifier])
$foundFailRule = $false
foreach ($rule in $auditRules) {
if ($rule.AuditFlags -ieq "Failure") {
$foundFailRule = $true
break
}
}
if ($foundFailRule -eq $true) {
Write-Host "Found fail rule. No action needed."
}
else {
#find the IdentityReference from the first audit rule entry in the OU
$identityReference = $auditRules[0].IdentityReference
$activeDirectoryRights = "GenericAll"
$auditFlags = "Failure"
$failAuditRule = New-Object System.DirectoryServices.ActiveDirectoryAuditRule $identityReference, $activeDirectoryRights, $auditFlags
$acl.AddAuditRule($failAuditRule)
}
No estoy seguro de si esto es significativo, pero noté que en las reglas de auditoría predeterminadas para la unidad organizativa, a veces ObjectType y InheritedObjectType son una cadena de ceros y otras veces contienen algunos datos distintos de cero. Con el método constructor anterior, esas propiedades por defecto son todos ceros.
¿Alguna idea de por qué el método AddAuditRule no genera una nueva regla en la unidad organizativa? Dado que no hay ningún error, ¿tal vez esté agregando una regla, pero se está completando en Active Directory en una ubicación inesperada?