WindowsServer2008R2之八目錄服務稽核策略

技術小美發表於2017-11-23
WindowsServer
 相對於以前的作業系統Windows 2000 Server 和 Windows Server 2003 中,Windows Server 2008的目錄服務策略分為四個子類別:
    目錄服務訪問(Directory Service Access)

    目錄服務更改(Directory Service Changes)

    目錄服務複製(Directory Service Replication)

    詳細的目錄服務複製(Detailed Directory Service Replication)
    可以稽核的更改型別包括使用者(或任何安全主體)建立、修改、移動和恢復物件。目錄服務稽核策略可以在事件中精確記錄如下資訊:修改前後的值、什麼時候修改的、誰修改的、都修改了哪些物件。

   
實驗環境:計算機Win2008R2CNDC是一臺DC,所有操作在這臺DC上完成
   
操作步驟:
    步驟一:啟用稽核策略。

    步驟二:通過使用“Active Directory 使用者和計算機”在物件 SACL 中設定稽核。

            為了便於操作,在操作之前先建立了一個組織單元hbycrsj_ou。
   
步驟一:啟用稽核策略
使用 Windows 介面啟用全域性稽核策略的步驟
    1、單擊“開始”,指向“管理工具”,然後單擊“組策略管理”或執行GPMC.msc。
    2、在控制檯樹中,雙擊林的名稱,雙擊“域”,雙擊您的域名,雙擊“域控制器”,右鍵單擊“預設域控制器策略”,然後單擊“編輯”。
    3、在“計算機配置”下,依次雙擊“策略”、“Windows 設定”、“安全設定”、“本地策略”和“稽核策略”。
    4、在“稽核策略”中右鍵單擊“稽核目錄服務訪問”,然後單擊“屬性”。
    選中“定義這些策略設定”核取方塊。
    在“稽核這些操作”下,選中“成功”核取方塊,然後單擊“確定”。
使用命令列啟用更改稽核策略的步驟
    輸入命令:auditpol /set /subcategory:”目錄服務更改” /success:enable啟用更改稽核策略
    可以輸入命令 auditpol /get /category:* /r 顯示策略使用情況
auditpol /set /subcategory:{0CCE923A-69AE-11D9-BED3-505054503030} /success:enable
注意:subcategory後面可以是目錄服務策略字元,也可以是目錄服務策略的GUID。如果在英文2008狀態,目錄服務策略字元必須是英文;在中文2008狀態,目錄服務策略字元必須是中文。否則會出現如下圖錯誤
  輸入auditpol /get /subcategory:{0CCE923A-69AE-11D9-BED3-505054503030} 檢視策略設定情況
步驟二:在物件 SACL 中設定稽核的步驟
    單擊“開始”,指向“管理工具”,然後單擊“Active Directory 使用者和計算機”。
    右鍵單擊需要啟用稽核的組織單位 (OU)(Hbycrsj_OU),然後單擊“屬性”。
    單擊“安全”選項卡,單擊“高階”,然後單擊“稽核”選項卡。
    單擊“新增”,並在“輸入要選擇的物件名稱”下鍵入“Authenticated Users”(或任何其他安全主體),然後單擊“確定”。
    在“應用到”中,單擊“子使用者物件”(或任何其他物件)。
    在“訪問”下,選中“寫入所有屬性”的“成功”核取方塊。
    單擊“確定”直到退出 OU 或其他物件的屬性表。
注意:如果屬性選單中沒有安全,請在Active Directory 使用者和計算機管理控制檯選擇“選單”中的“高階功能”
 

本文轉自ycrsjxy51CTO部落格,原文連結:http://blog.51cto.com/ycrsjxy/203060,如需轉載請自行聯絡原作者


相關文章