Windows Server 2008 Active Directory 审计与安全策略配置
1. Active Directory 服务审计概述
Active Directory 服务审计能够让你追踪域中用户的各种操作,像登录、注销、访问文件和文件夹等。当创建并应用审计策略后,可审计事件会被记录在事件发生所在计算机的安全日志中,之后可以通过事件查看器连接到相应计算机来查看其安全日志。
1.1 Active Directory 审计新特性
Windows Server 2008 引入了新的命令行工具auditpol.exe,同时在“审核目录服务访问”类别中新增了子类别。在之前的 Windows Server 版本中,单一的“目录服务访问”类别控制着所有目录服务事件的审计;而在 Windows Server 2008 中,有四个目录服务访问子类别:
-目录服务访问:追踪对系统访问控制列表(SACL)已配置审计的 AD DS 对象的所有访问尝试,包括对象的删除。
-目录服务更改:追踪对 SACL 已配置审计的 AD DS 对象的修改,具体包括:
- 对象属性修改时,属性的新旧值会记录在安全日志中。
- 创建新对象时,对象属性值(包括新属性值)会记录在安全日志中,这也包括从其他域移动过来的对象。
- 对象从一个容器移动到另一个容器时,旧位置和新位置的可分辨名称会记录在安全日志中。
- 对象被恢复时,其放置位置会记录在安全日志中,同时任何添加、修改或删除的属性也会被记录。
-目录服务复制 <
