Freigeben über

Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle

Defender for Identity-Erkennungen basieren auf bestimmten Windows-Ereignisprotokolleinträgen, um die Erkennungen zu verbessern und zusätzliche Informationen zu den Benutzern bereitzustellen, die bestimmte Aktionen ausführen, z. B. NTLM-Anmeldungen und Änderungen an Sicherheitsgruppen. In diesem Artikel wird beschrieben, wie Sie die erweiterten Überwachungsrichtlinieneinstellungen konfigurieren, um Lücken in den Ereignisprotokollen und eine unvollständige Defender for Identity-Abdeckung zu vermeiden.

Defender for Identity generiert Integritätswarnungen, wenn falsche Windows-Ereignisüberwachungskonfigurationen erkannt werden. Weitere Informationen finden Sie unter Microsoft Defender for Identity Integritätswarnungen.

Voraussetzungen

Wenn Sie das Active Directory PowerShell-Modul zum Konfigurieren eines Domänencontrollers verwenden, stellen Sie sicher, dass Sie das Defender for Identity PowerShell-Modul herunterladen.

Hinweis

Das Active Directory PowerShell-Modul ist nur erforderlich, wenn Defender for Identity auf Domänencontrollern konfiguriert wird. Auf AD CS-Servern, auf denen der Rollendienst der Zertifizierungsstelle ausgeführt wird, ist dies nicht erforderlich.

Generieren eines Berichts aktueller Konfigurationen mithilfe von PowerShell

Bevor Sie mit dem Erstellen neuer Ereignis- und Überwachungsrichtlinien beginnen, sollten Sie den folgenden PowerShell-Befehl ausführen, um einen Bericht über Ihre aktuellen Domänenkonfigurationen zu generieren:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -Identity "DOMAIN\ServiceAccountName" -OpenHtmlReport

Dabei gilt:

  • Path gibt den Pfad an, in dem die Berichte gespeichert werden sollen.

  • Modegibt an, ob Sie den Modus oder LocalMachine verwenden Domain möchten. Im Domain Modus werden die Einstellungen aus den Gruppenrichtlinie-Objekten (GPOs) gesammelt. Im LocalMachine Modus werden die Einstellungen vom lokalen Computer erfasst.

    Der Domain Modusbericht enthält nur Konfigurationen, die als Gruppenrichtlinien für die Domäne festgelegt sind. Wenn Einstellungen lokal auf Ihren Domänencontrollern definiert sind, empfiehlt es sich, auch das skriptTest-MdiReadiness.ps1 auszuführen.

  • OpenHtmlReport öffnet den HTML-Bericht, nachdem der Bericht generiert wurde.

Hinweis

Wenn Sie verwenden -Mode Domain, schließen Sie den -Identity Parameter ein, um eine interaktive Eingabeaufforderung zu vermeiden. Weitere Informationen finden Sie unter New-MDIConfigurationReport.

Um beispielsweise einen Bericht zu generieren und in Ihrem Standardbrowser zu öffnen, führen Sie den folgenden Befehl aus:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Weitere Informationen finden Sie in der PowerShell-Referenz zu Defender for Identity.

Konfigurieren der Windows-Ereignisüberwachung für Domänencontroller

Aktualisieren Sie die Einstellungen für erweiterte Überwachungsrichtlinien und zusätzliche Konfigurationen für bestimmte Ereignisse und Ereignistypen, z. B. Benutzer, Gruppen, Computer und mehr. Zu den Überwachungskonfigurationen für Domänencontroller gehören:

Weitere Informationen finden Sie unter Häufig gestellte Fragen zur erweiterten Sicherheitsüberwachung.

Sie können die Überwachung auf den Domänencontrollern entweder im Portal oder mithilfe von PowerShell konfigurieren.

Konfigurieren der Einstellungen für erweiterte Überwachungsrichtlinien im Defender-Portal

In diesem Verfahren wird beschrieben, wie Sie die Erweiterten Überwachungsrichtlinieneinstellungen Ihres Domänencontrollers nach Bedarf für Defender for Identity über die Benutzeroberfläche ändern.

  1. Melden Sie sich beim Server als Domänenadministrator an.

  2. Öffnen Sie den Gruppenrichtlinie-Verwaltungs-Editor über Server-Manager>Tools>Gruppenrichtlinie Management.

  3. Erweitern Sie Domänencontroller Organisationseinheiten, klicken Sie mit der rechten Maustaste auf Standarddomänencontrollerrichtlinie, und wählen Sie dann Bearbeiten aus.

    Screenshot des Bereichs zum Bearbeiten der Standardrichtlinie für Domänencontroller.

    Hinweis

    Verwenden Sie die Standarddomänencontrollerrichtlinie oder ein dediziertes GPO, um diese Richtlinien festzulegen.

  4. Wechseln Sie im daraufhin geöffneten Fenster zu Computerkonfigurationsrichtlinien>>Windows-Einstellungen>Sicherheitseinstellungen. Gehen Sie abhängig von der Richtlinie, die Sie aktivieren möchten, wie folgt vor:

    1. Wechseln Sie zu Erweiterte Überwachungsrichtlinienkonfiguration>Überwachungsrichtlinien.

      Screenshot der Auswahl zum Öffnen von Überwachungsrichtlinien.

    2. Bearbeiten Sie unter Überwachungsrichtlinien jede der folgenden Richtlinien, und wählen Sie Die folgenden Überwachungsereignisse für Erfolgs - und Fehlerereignisse konfigurieren aus.

      Überwachungsrichtlinie Unterkategorie Triggerereignis-IDs
      Kontoanmeldung Überprüfung von Anmeldeinformationen überwachen 4776
      Kontoführung Computerkontoverwaltung überwachen* 4741, 4743
      Kontoführung Überwachen der Verteilergruppenverwaltung* 4753, 4763
      Kontoführung Sicherheitsgruppenverwaltung überwachen* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Kontoführung Überwachen der Benutzerkontenverwaltung 4726
      DS-Zugriff Verzeichnisdienständerungen überwachen* 5136
      System Sicherheitssystemerweiterung überwachen* 7045
      DS-Zugriff Überwachen des Verzeichnisdienstzugriffs 4662 – Für dieses Ereignis müssen Sie auch die Domänenobjektüberwachung konfigurieren.

      Hinweis

      * Notierte Unterkategorien unterstützen keine Fehlerereignisse. Es wird jedoch empfohlen, sie zu Überwachungszwecken hinzuzufügen, falls sie in Zukunft implementiert werden. Weitere Informationen finden Sie unter Überwachen der Computerkontoverwaltung, Sicherheitsgruppenverwaltung überwachen und Sicherheitssystemerweiterung überwachen.

      Wenn Sie z. B. die Überwachung der Sicherheitsgruppenverwaltung konfigurieren möchten, doppelklicken Sie unter Kontoverwaltung auf Sicherheitsgruppenverwaltung überwachen, und wählen Sie dann Die folgenden Überwachungsereignisse für Erfolgs - und Fehlerereignisse konfigurieren aus.

      Screenshot des Dialogfelds

  5. Geben Sie an einer Eingabeaufforderung mit erhöhten Rechten ein gpupdate.

  6. Nachdem Sie die Richtlinie über das Gruppenrichtlinienobjekt angewendet haben, vergewissern Sie sich, dass die neuen Ereignisse im Ereignisanzeige unter Windows-Protokollsicherheit> angezeigt werden.

    Führen Sie den folgenden Befehl aus, um Ihre Überwachungsrichtlinien über die Befehlszeile zu testen:

    auditpol.exe /get /category:*

Weitere Informationen finden Sie in der auditpol-Referenzdokumentation.

Konfigurieren von Einstellungen für erweiterte Überwachungsrichtlinien mithilfe von PowerShell

Die folgenden Aktionen beschreiben, wie Sie die Erweiterten Überwachungsrichtlinieneinstellungen Ihres Domänencontrollers nach Bedarf für Defender for Identity mithilfe von PowerShell ändern.

Der folgende Befehl definiert alle Einstellungen für die Domäne, erstellt Gruppenrichtlinienobjekte und verknüpft sie.

Set-MDIConfiguration -Mode Domain -Configuration All

Führen Sie Folgendes aus, um Ihre Einstellungen zu konfigurieren:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Dabei gilt:

  • Modegibt an, ob Sie den Modus oder LocalMachine verwenden Domain möchten. Im Domain Modus werden die Einstellungen aus den Gruppenrichtlinie -Objekten gesammelt. Im LocalMachine Modus werden die Einstellungen vom lokalen Computer erfasst.
  • Configuration gibt an, welche Konfiguration festgelegt werden soll. Verwenden Sie All , um alle Konfigurationen festzulegen.
  • CreateGpoDisabled gibt an, ob die Gruppenrichtlinienobjekte erstellt und als deaktiviert beibehalten werden.
  • SkipGpoLink gibt an, dass GPO-Links nicht erstellt werden.
  • Force gibt an, dass die Konfiguration festgelegt oder Gruppenrichtlinienobjekte erstellt werden, ohne den aktuellen Zustand zu überprüfen.

Um Ihre Überwachungsrichtlinien anzuzeigen, verwenden Sie den Get-MDIConfiguration Befehl, um aktuelle Werte anzuzeigen:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Dabei gilt:

  • Modegibt an, ob Sie den Modus oder LocalMachine verwenden Domain möchten. Im Domain Modus werden die Einstellungen aus den Gruppenrichtlinie -Objekten gesammelt. Im LocalMachine Modus werden die Einstellungen vom lokalen Computer erfasst.
  • Configuration gibt an, welche Konfiguration abgerufen werden soll. Verwenden Sie All , um alle Konfigurationen abzurufen.

Verwenden Sie zum Testen Ihrer Überwachungsrichtlinien den Test-MDIConfiguration Befehl , um eine - oder false -trueAntwort zu erhalten, ob die Werte richtig konfiguriert sind:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Dabei gilt:

  • Modegibt an, ob Sie den Modus oder LocalMachine verwenden Domain möchten. Im Domain Modus werden die Einstellungen aus den Gruppenrichtlinie -Objekten gesammelt. Im LocalMachine Modus werden die Einstellungen vom lokalen Computer erfasst.
  • Configuration gibt an, welche Konfiguration getestet werden soll. Verwenden Sie All , um alle Konfigurationen zu testen.

Weitere Informationen finden Sie in den folgenden DefenderForIdentity PowerShell-Verweisen:

Konfigurieren der NTLM-Überwachung

Wenn ein Defender for Identity-Sensor das Windows-Ereignis 8004 analysiert, werden die NTLM-Authentifizierungsaktivitäten von Defender for Identity mit den Daten angereichert, auf die vom Server zugegriffen wird. In diesem Abschnitt werden die zusätzlichen Konfigurationsschritte beschrieben, die Sie zum Überwachen des Windows-Ereignisses 8004 benötigen.

Hinweis

  • Domänengruppenrichtlinien zum Erfassen des Windows-Ereignisses 8004 sollten nur auf Domänencontroller angewendet werden.

So konfigurieren Sie die NTLM-Überwachung:

  1. Nachdem Sie Ihre anfänglichen Einstellungen für erweiterte Überwachungsrichtlinien im Defender-Portal oder mithilfe von PowerShell konfiguriert haben, öffnen Sie Gruppenrichtlinie Verwaltung. Wechseln Sie dann zu StandarddomänencontrollerRichtlinie>Lokale Richtlinien>Sicherheitsoptionen.

  2. Konfigurieren Sie die angegebenen Sicherheitsrichtlinien wie folgt:

    Sicherheitsrichtlinieneinstellung Wert
    Netzwerksicherheit: Einschränken von NTLM: Ausgehender NTLM-Datenverkehr an Remoteserver Alle überwachen
    Netzwerksicherheit: NTLM einschränken: NTLM-Authentifizierung in dieser Domäne überwachen Alle aktivieren
    Netzwerksicherheit: NTLM einschränken: Eingehenden NTLM-Datenverkehr überwachen Aktivieren der Überwachung für alle Konten

Wenn Sie beispielsweise ausgehenden NTLM-Datenverkehr zu Remoteservern konfigurieren möchten, doppelklicken Sie unter Sicherheitsoptionen auf Netzwerksicherheit: NTLM einschränken: Ausgehender NTLM-Datenverkehr auf Remoteserver, und wählen Sie dann Alle überwachen aus.

Screenshot der Überwachungskonfiguration für ausgehenden NTLM-Datenverkehr zu Remoteservern.

Konfigurieren der Domänenobjektüberwachung

Zum Sammeln von Ereignissen für Objektänderungen, z. B. für Ereignis 4662, müssen Sie auch die Objektüberwachung für den Benutzer, die Gruppe, den Computer und andere Objekte konfigurieren. Im folgenden Verfahren wird beschrieben, wie Sie die Überwachung in der Active Directory-Domäne aktivieren.

Um sicherzustellen, dass die Domänencontroller ordnungsgemäß für die Aufzeichnung der erforderlichen Ereignisse konfiguriert sind, überprüfen und überwachen Sie Ihre Richtlinien im Defender-Portal oder mithilfe von PowerShell , bevor Sie die Ereignissammlung aktivieren. Wenn die Überwachung ordnungsgemäß konfiguriert ist, hat dies minimale Auswirkungen auf die Serverleistung.

So konfigurieren Sie die Überwachung von Domänenobjekten:

  1. Wechseln Sie zur Active Directory-Benutzer und -Computer-Konsole.

  2. Wählen Sie die Domäne aus, die Sie überwachen möchten.

  3. Wählen Sie das Menü Ansicht und dann Erweiterte Features aus.

  4. Klicken Sie mit der rechten Maustaste auf die Domäne, und wählen Sie Eigenschaften aus.

    Screenshot der Auswahl zum Öffnen von Containereigenschaften.

  5. Wechseln Sie zur Registerkarte Sicherheit , und wählen Sie dann Erweitert aus.

    Screenshot des Dialogfelds zum Öffnen erweiterter Sicherheitseigenschaften.

  6. Wählen Sie unter Erweiterte Sicherheitseinstellungen die Registerkarte Überwachung und dann Hinzufügen aus.

    Screenshot der Registerkarte

  7. Wählen Sie Prinzipal auswählen aus.

    Screenshot der Schaltfläche zum Auswählen eines Prinzipals.

  8. Geben Sie unter Geben Sie den auszuwählenden Objektnamen ein die Zeichenfolge Jeder ein. Wählen Sie dann Namen>überprüfen OK aus.

    Screenshot der Eingabe des Objektnamens

  9. Zurück zu Überwachungseintrag, und treffen Sie die folgende Auswahl:

    1. Wählen Sie unter Typ die Option Erfolg aus.

    2. Wählen Sie für Gilt für die Option Nachfolgerbenutzerobjekte aus.

    3. Scrollen Sie unter Berechtigungen nach unten, und wählen Sie die Schaltfläche Alle löschen aus.

      Screenshot der Schaltfläche zum Löschen aller Berechtigungen.

    4. Scrollen Sie nach oben, und wählen Sie Vollzugriff aus. Alle Berechtigungen sind ausgewählt.

    5. Deaktivieren Sie die Auswahl für die Berechtigungen Inhalt auflisten, Alle Eigenschaften lesen und Leseberechtigungen , und wählen Sie dann OK aus. In diesem Schritt werden alle Eigenschafteneinstellungen auf Schreiben festgelegt.

      Screenshot: Auswählen von Berechtigungen

      Jetzt werden alle relevanten Änderungen an Verzeichnisdiensten als 4.662 Ereignisse angezeigt, wenn sie ausgelöst werden.

  10. Wiederholen Sie die Schritte in diesem Verfahren, aber wählen Sie für Gilt für die folgenden Objekttypen aus: 1

    • Nachfolgergruppenobjekte
    • Nachfolgercomputerobjekte
    • Nachfolger msDS-GroupManagedServiceAccount-Objekte
    • Nachfolger msDS-ManagedServiceAccount-Objekte
    • Nachfolger msDS-DelegatedManagedServiceAccount Objects2

Hinweis

  • Sie können auch Überwachungsberechtigungen für alle nachfolgerfähigen Objekte zuweisen, indem Sie nur die im letzten Schritt beschriebenen Objekttypen verwenden.
  • Die MsDS-DelegatedManagedServiceAccount-Klasse ist nur für Domänen relevant, die mindestens einen Windows Server 2025-Domänencontroller ausführen.

Konfigurieren der Überwachung in AD FS

So konfigurieren Sie die Überwachung auf Active Directory-Verbunddienste (AD FS) (AD FS):

  1. Wechseln Sie zur Active Directory-Benutzer und -Computer-Konsole, und wählen Sie die Domäne aus, in der Sie die Protokolle aktivieren möchten.

  2. Wechseln Sie zu Programmdaten>Microsoft>AD FS.

    Screenshot: Container für Active Directory-Verbunddienste (AD FS)

  3. Klicken Sie mit der rechten Maustaste auf AD FS , und wählen Sie Eigenschaften aus.

  4. Wechseln Sie zur Registerkarte Sicherheit , und wählen Sie Erweiterte>Sicherheitseinstellungen aus. Wechseln Sie dann zur Registerkarte Überwachung, und wählen Sie Hinzufügen>Prinzipal auswählen aus.

  5. Geben Sie unter Geben Sie den auszuwählenden Objektnamen ein die Zeichenfolge Jeder ein. Wählen Sie dann Namen>überprüfen OK aus.

  6. Anschließend kehren Sie zu Überwachungseintrag zurück. Treffen Sie die folgende Auswahl:

    • Wählen Sie unter Typ die Option Alle aus.
    • Wählen Sie unter Gilt für die Option Dieses Objekt und alle nachfolgerfähigen Objekte aus.
    • Scrollen Sie unter Berechtigungen nach unten, und wählen Sie Alle löschen aus. Scrollen Sie nach oben, und wählen Sie Alle Eigenschaften lesen und Alle Eigenschaften schreiben aus.

    Screenshot der Überwachungseinstellungen für Active Directory-Verbunddienste (AD FS).

  7. Wählen Sie OK aus.

Konfigurieren der ausführlichen Protokollierung für AD FS-Ereignisse

Für Sensoren, die auf AD FS-Servern ausgeführt werden, muss die Überwachungsebene für relevante Ereignisse auf Ausführlich festgelegt sein. Verwenden Sie beispielsweise den folgenden Befehl, um die Überwachungsebene auf Ausführlich zu konfigurieren:

Set-AdfsProperties -AuditLevel Verbose

Konfigurieren der Überwachung in AD CS

Wenn Sie mit einem dedizierten Server arbeiten, auf dem Active Directory Certificate Services (AD CS) konfiguriert ist, konfigurieren Sie die Überwachung wie folgt, um dedizierte Warnungen und Berichte zur Sicherheitsbewertung anzuzeigen:

  1. Erstellen Sie eine Gruppenrichtlinie, die auf Ihren AD CS-Server angewendet werden soll. Bearbeiten Sie sie, und konfigurieren Sie die folgenden Überwachungseinstellungen:

    1. Wechseln Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Objektzugriff\Zertifizierungsdienste überwachen.

    2. Aktivieren Sie die Kontrollkästchen, um Überwachungsereignisse für Erfolg und Fehler zu konfigurieren.

      Screenshot: Konfigurieren von Überwachungsereignissen für Active Directory-Zertifikatdienste im Gruppenrichtlinie-Verwaltungs-Editor.

  2. Konfigurieren Sie die Überwachung auf der Zertifizierungsstelle mit einer der folgenden Methoden:

    • Um die Überwachung der Zertifizierungsstelle über die Befehlszeile zu konfigurieren, führen Sie Folgendes aus:

      certutil –setreg CA\AuditFilter 127 
net stop certsvc && net start certsvc

    - To configure CA auditing in the Defender portal:

 1. Select **Start** > **Certification Authority (MMC Desktop application)**. Right-click your CA's name and select **Properties**.

    :::image type="content" source="../media/configure-windows-event-collection/certification-authority.png" alt-text="Screenshot of the Certification Authority dialog.":::

 1. Select the **Auditing** tab, select all the events that you want to audit, and then select **Apply**.

    :::image type="content" source="../media/configure-windows-event-collection/auditing.png" alt-text="Screenshot of the Auditing tab for certificate authority properties.":::

Hinweis

Das Konfigurieren der Ereignisüberwachung "Active Directory-Zertifikatdienste starten und beenden " kann zu Neustartverzögerungen führen, wenn Sie mit einer großen AD CS-Datenbank arbeiten. Ziehen Sie in Betracht, irrelevante Einträge aus der Datenbank zu entfernen. Alternativ können Sie diesen bestimmten Ereignistyp nicht aktivieren.

Konfigurieren der Überwachung auf Microsoft Entra Connect

So konfigurieren Sie die Überwachung auf Microsoft Entra Connect-Servern:

  • Erstellen Sie eine Gruppenrichtlinie, die auf Ihre Microsoft Entra Connect-Server angewendet werden soll. Bearbeiten Sie sie, und konfigurieren Sie die folgenden Überwachungseinstellungen:

    1. Wechseln Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Anmelde-/Abmelden\Audit-Anmeldung.

    2. Aktivieren Sie die Kontrollkästchen, um Überwachungsereignisse für Erfolg und Fehler zu konfigurieren.

Screenshot des Gruppenrichtlinie-Verwaltungs-Editors.

Konfigurieren der Überwachung für den Konfigurationscontainer

Die Überwachung des Konfigurationscontainers ist nur für Umgebungen erforderlich, die derzeit oder zuvor über Microsoft Exchange verfügen, da diese Umgebungen über einen Exchange-Container im Konfigurationsabschnitt der Domäne verfügen.

  1. Öffnen Sie das ADSI-Bearbeitungstool. Wählen Sie Ausführung starten> aus, geben Sie einADSIEdit.msc, und wählen Sie dann OK aus.

  2. Wählen Sie im Menü Aktion die Option Verbinden mit aus.

  3. Wählen Sie im Dialogfeld Verbindungseinstellungen unter Bekannte Benennungskontext auswählendie Option Konfiguration>OK aus.

  4. Erweitern Sie den Konfigurationscontainer , um den Knoten Konfiguration anzuzeigen, der mit "CN=Configuration,DC=..." beginnt.

    Screenshot der Auswahl zum Öffnen von Eigenschaften für den Knoten CN-Konfiguration.

  5. Klicken Sie mit der rechten Maustaste auf den Knoten Konfiguration , und wählen Sie Eigenschaften aus.

    Screenshot der Auswahl zum Öffnen von Eigenschaften für den Konfigurationsknoten.

  6. Wählen Sie die Registerkarte Sicherheit und dann Erweitert aus.

  7. Wählen Sie unter Erweiterte Sicherheitseinstellungen die Registerkarte Überwachung und dann Hinzufügen aus.

  8. Wählen Sie Prinzipal auswählen aus.

  9. Geben Sie unter Geben Sie den auszuwählenden Objektnamen ein die Zeichenfolge Jeder ein. Wählen Sie dann Namen>überprüfen OK aus.

  10. Anschließend kehren Sie zu Überwachungseintrag zurück. Treffen Sie die folgende Auswahl:

    • Wählen Sie unter Typ die Option Alle aus.
    • Wählen Sie unter Gilt für die Option Dieses Objekt und alle nachfolgerfähigen Objekte aus.
    • Scrollen Sie unter Berechtigungen nach unten, und wählen Sie Alle löschen aus. Scrollen Sie nach oben, und wählen Sie Alle Eigenschaften schreiben aus.

    Screenshot der Überwachungseinstellungen für den Konfigurationscontainer.

  11. Wählen Sie OK aus.

Aktualisieren von Legacykonfigurationen

Defender for Identity erfordert keine Protokollierung von 1.644 Ereignissen mehr. Wenn Sie eine der folgenden Einstellungen aktiviert haben, können Sie sie aus der Registrierung entfernen.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Verwandte Inhalte

Weitere Informationen finden Sie unter:

Nächster Schritt

Was sind Defender for Identity-Rollen und -Berechtigungen?

  • Last updated on