AD审核策略.docxVIP

审核帐户登录事件 该安全设置确定是否审核在这台计算机用于验证帐户时，用户登录到其他计算机或者从其他计算机注销的每个实例。当在域控制器上对域用户帐户进行身份验证时，将产生帐户登录事件。该事件记录在域控制器的安全日志中。当在本地计算机上对本地用户进行身份验证时，将产生登录事件。该事件记录在本地安全日志中。不产生帐户注销事件。如果在域控制器上启用了帐户登录事件的成功审核，则将为该域控制器所验证的每位用户记录一个条目，即使用户实际登录的是加入到该域的工作站。 审核登录事件 在域控制器上将生成域帐户活动的帐户登录事件，在本地计算机上生成本地帐户活动的帐户登录事件。如果同时启用帐户登录和登录审核策略类别，那么使用域帐户的登录将在工作站或服务器上生成登录或注销事件，而且将在域控制器上生成一个帐户登录事件。此外，使用域帐户交互式登录到成员服务器或工作站将在域控制器上生成登录事件，因为在用户登录时检索到登录脚本和策略。 审核帐户管理 描述 该安全设置确定是否审核计算机上的每一个帐户管理事件。帐户管理事件的例子包括： 创建、更改或删除用户帐户或组。 重命名、禁用或启用用户帐户。 设置或更改密码。 默认值： 域控制器上的成功。 审核目录服务访问 描述 该安全设置确定是否审核用户访问那些指定自己的系统访问控制列表 (SACL) 的 Active Directory 对象的事件。 默认情况下，在“默认域控制器组策略对象 (GPO)”中该值设置为无审核，并且在该值没有任何意义的工作站和服务器中，它保持未定义状态。? 注意，通过使用某个 Active Directory 对象“属性”对话框中的“安全”选项卡，可以设置该对象的 SACL。该操作与 HYPERLINK /zh-cn/library/cc776774(WS.10).aspx 审核对象访问相同，只不过它仅应用于 Active Directory 对象而不是文件系统和注册表对象。 默认值： 域控制器上的成功。 未定义成员计算机。 审核对象访问 描述 该安全设置确定是否审核用户访问某个对象的事件，例如文件、文件夹、注册表项、打印机等，它们都有自己特定的系统访问控制列表 (SACL)。 要将该值设置为“无审核”，请在该策略设置的“属性”对话框中，选中“定义这些策略设置”复选框，然后取消选中“成功”和“失败”复选框。 注意，在某个文件系统对象“属性”对话框中的“安全”选项卡上，可以设置该对象的 SACL。 默认值：无审核。 ? 审核系统事件 描述 当用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件发生时，该安全设置确定是否予以审核。 默认值： 域控制器上的成功。 成员服务器上无审核。 上周在客户那里遇到了一件很郁闷的事，AD中的几个重要帐户被莫名其妙的删除了，而且很不幸的是其中之一正是OCS2007以及MOSS2007的服务帐户。结果可想而知，由于即时消息系统以及内网外网门户协作平台全部瘫痪，IT部从早上就开始不断接到求助电话。 面对突然发生的灾难，IT管理员针对不同的恢复级别以及服务中断时间可能会有N种恢复方法，这些包括：整个目录数据库的恢复、删除对象的恢复、OCS服务的恢复的以及MOSS的恢复等。但是今天博文的重点不是上面所说的修复过程，因为就事情本身这首先是一个管理问题而后才是一个技术问题，或者说如果没有完善的管理规章基础再好的技术也不能发挥他应有的作用。 我们可以将整个事情简单的划分为4个步骤：事件发现-故障分析- 故障排除-日志审核。今天要介绍的就是其中的最后一步，如何通过日志查找引起此次故障的源头，看看是谁动了你的活动目录。 ? 配置活动目录审核 在审核用户操作以前，我们首先需要在策略中开启审核设置，然后系统日志中才会记录相应的操作 帐户管理作为审核对象，因为在AD审核中，我们需要记录的操作，如：创建帐户、删除帐户、禁用帐户、重设密码等都在这个范畴里。 ? 配置审核用户操作 配置过对DC的审核后，我们可以对需要进行审核的帐户以及审核的操作进行设置 首先打开AD用户和计算机，在查看中打开高级功能选项，在默认设置下是无法对审核进行设置的 ? 我要在域内配置审核，因此在ocstest.test上点击属性，在实际应用中，我们也可以对某个重要OU容器进行审核 ? 默认策略对Domain Users组进行审核，也就是审核所有用户的操作，为了方便演示我将系统审核项目删除，并且添加一条对于用户董君的审核记录 ? 在审核项目管理员还可以对审核的对象和属性进一步进行筛选，这样做的好处是可以降低DC的压力 ? 首先做一个删除用户的操作 ? 在日志的安全性日志中经过刷新出现如下新日志。 ? 打开这条日志，我们发现刚才的操作已经被审核日志记录下来了，通过日志我们可以知道，在2008年10月