This repository contains two PowerShell scripts designed to manage and automate tasks related to the GPO_LOGON_DENY group policy in an Active Directory environment.
Enable task GPO_LOGON_DENY.ps1 is required to be run by the task every n minutes.
This script is responsible for activating a scheduled task that monitors and manages the GPO_LOGON_DENY policy. It includes features like:
- File Creation and Deletion: The script checks for the existence of a specific file, which acts as a marker or indicator of the last successful operation. If the file is older than 48 hours, it is deleted. This mechanism ensures that the system can detect if the scheduled task is failing to run as expected. By removing the file after 48 hours, the script resets the environment, allowing for accurate monitoring and preventing false positives in task monitoring.
- Retrieving information about the scheduled task named
Обновление членства GPO_LOGON_DENY. - Monitoring the status and last run time of the task.
- Sending email notifications if certain conditions are met (e.g., the task hasn't run for a specified time).
This script updates the membership of the GPO_LOGON_DENY group. Its main functionalities include:
- Retrieving all users in the
gpo_logon_denygroup. - Checking if users belong to specific groups like
Protected UsersorPriv_Group. - Removing users from the
gpo_logon_denygroup if they do not meet certain conditions. - Logging all actions and sending email notifications regarding changes.
- Place both scripts in a secure directory.
- Customize the parameters such as email settings and group names according to your environment.
- Set up a scheduled task to run
Активация задачи GPO_LOGON_DENY.ps1. - Regularly review the logs generated by
Обновление членства GPO_LOGON_DENY.ps1for audit purposes.
- PowerShell 5.1 or later.
- Active Directory module for Windows PowerShell.
- Proper permissions to modify group memberships in Active Directory.
Этот репозиторий содержит два PowerShell-скрипта, предназначенных для управления и автоматизации задач, связанных с групповыми политиками GPO_LOGON_DENY в среде Active Directory.
Enable task GPO_LOGON_DENY.ps1 требуется запускать задачей каждые n минут.
Этот скрипт отвечает за активацию запланированной задачи, которая отслеживает и управляет политикой GPO_LOGON_DENY. Основные функции:
- Создание и удаление файла: Скрипт проверяет наличие специального файла, который выступает в роли маркера или индикатора успешного выполнения задачи.
- Если файл старше 48 часов, он удаляется. Этот механизм обеспечивает обнаружение сбоев в выполнении запланированной задачи. Удаляя файл через 48 часов, скрипт сбрасывает окружение, что позволяет точно отслеживать выполнение задачи и предотвращать ложные срабатывания в мониторинге.
- Получение информации о запланированной задаче под названием
Обновление членства GPO_LOGON_DENY. - Мониторинг статуса и времени последнего запуска задачи.
- Отправка уведомлений по электронной почте, если выполнены определенные условия (например, задача не запускалась в течение указанного времени).
Этот скрипт обновляет членство в группе GPO_LOGON_DENY. Основные функции:
- Получение всех пользователей в группе
gpo_logon_deny. - Проверка, состоят ли пользователи в определенных группах, таких как
Protected UsersилиPriv_Group. - Удаление пользователей из группы
gpo_logon_deny, если они не соответствуют определенным условиям. - Ведение логов всех действий и отправка уведомлений по электронной почте о произведенных изменениях.
- Разместите оба скрипта в защищенной директории.
- Настройте параметры, такие как настройки электронной почты и имена групп, в соответствии с вашей средой.
- Настройте запланированную задачу для выполнения
Активация задачи GPO_LOGON_DENY.ps1. - Регулярно просматривайте логи, созданные
Обновление членства GPO_LOGON_DENY.ps1, для аудита.
- PowerShell версии 5.1 или новее.
- Модуль Active Directory для Windows PowerShell.
- Необходимые права для изменения членства в группах Active Directory.