Server2008从入门到精通第二部分第一篇WindowsServer2008活动目录审核新特性.docVIP

第一篇： Windows Server 2008 活动目录审核新特性 作者：王辉(MVP/MCT) ? 作者注：最近和余勇老大(MVP/MCT)组成了Windows Server 2008学习小组，互相督促，互相学习。今天又看到竹林冷雨兄弟发表了关于Windows Server 2008 Enterprise Core的文章，心有所感，再也不敢起懒惰之心，准备把我学习Windows Server 2008的一些心得和实验步骤整理写成文章，始有此系列。另外还是要说明一下，版权作者所有，未经作者同意严禁转载，如需转载请联系作者，联系方式为 chinamct@。 本系列共10门课： 1.????? 安装和管理Windows Server 2008 2.????? 在Windows Server 2008中实现活动目录域服务 3.????? 在Windows Server 2008中实现活动目录标识与访问 4.????? 在Windows Server 2008中管理IIS 7.0和Windows媒体服务器 5.????? 在Windows Server 2008中实现网络基础架构服务 6.????? 在Windows Server 2008中实现网络访问保护（NAP） 7.????? 在Windows Server 2008中实现终端服务 8.????? 在Windows Server 2008中实现存储架构 9.????? 在Windows Server 2008中实现安全 10.??? 在Windows Server 2008中实现高可用性和虚拟化 ? ? ? 本文为第二部分第一篇，文章将覆盖以下内容： ??? 配置Windows Server 2008活动目录审核策略 ??? 使用新命令行工具配置活动目录审核 ??? 查看审核事件 ? 众所周知，在Windows Server 2000/2003就提供了审核策略，其中就有针对活动目录访问的审核策略。在我们启用了Directory Service Access这条审核策略并在活动目录对应的容器上启用了审核之后，我们对此容器下的对象做的操作将会被记录在“Event Viewer”下的安全日志里面。通过审核我们可以很清楚的监视活动目录发生的变化，保护活动目录的安全性。 在Windows Server 2008中，活动目录的审核有了新的改进，它把全局的Directory Service Access审核策略划分成了四个子类别，其中有一个新的审核策略子类别就是Directory Service Changes。见下图（1）: 图（1） 通过使用Directory Service Changes这个新的子类别，使得我们可以审核用户（或者任何安全主体）的创建，修改，移动及恢复的行为。这个新的审核策略子类别使得我们在对活动目录域服务（ADDS）的审核上有了新的能力： ??? 当一个在一个属性上进行了一个成功的修改操作，例如修改用户所属的部门，ADDS将会在日志中记录下来部门这个属性之前的值和当前的值。 ??? 如果是创建一个对象，在创建对象的过程当中为用户指定的属性的值也将记录下来。例如创建了一个用户，在创建的过程中指定了账户是禁用的，则账户禁用这个属性的值也将会被记录。 ??? 如果移动一个对象，ADDS将在日志中记录下来该对象之前的位置和之后的位置。如果是跨域移动的话，将会在目标域的域控制器上产生一个对象创建的事件。 ??? 如果是恢复一个对象，此对象移动到的位置将被记录下来。例如恢复对象到一个特定的组织单位，则该组织单位的位置将在日志中记录下来。 ? 针对以上的行为，ADDS将在日志中记录不同的事件，如下图（2）所示： 图（2） ? 在这里我做一个总结：在Windows Server 2008中，您可以配置全局的Directory Service Access审核策略，如果您启用了全局Directory Service Access审核策略，也就等于启用了所有的四个子类别审核。也可以在不启用全局的Directory Service Access审核策略的情况下，单独的启用Windows Server 2008特殊的Directory Service Access审核策略的子类别，如Directory Service Changes。子类别之间是互相独立的，如Directory Service Access子类别是禁用的，但不会阻止Directory Service Changes生成事件。 ? ? 下面我们一起来看一下实现的过程。首先我们先看全局的审核策略的实现。实验中使用的计算机Sea-DC1，此计算机在本系列的之前的文章中有泳道，如果您看过之前文章，应该知道它是一台Window