Auditer des objets Active Directory dans Windows Server 2003

  • Article

Cet article pas à pas explique comment utiliser l’audit Windows Server 2003 pour suivre les activités des utilisateurs et les événements à l’échelle du système dans Active Directory.

Produit concerné : Windows Server 2003
Numéro de la base de connaissances d’origine : 814595

Résumé

Vous pouvez utiliser l’audit Windows Server 2003 pour suivre à la fois les activités des utilisateurs et les activités Windows Server 2003 qui sont des événements nommés, sur un ordinateur. Lorsque vous utilisez l’audit, vous pouvez spécifier les événements qui sont écrits dans le journal de sécurité. Par exemple, le journal de sécurité peut conserver un enregistrement des tentatives d’ouverture de session et des événements valides et non valides liés à la création, à l’ouverture ou à la suppression de fichiers ou d’autres objets. Une entrée d’audit dans le journal de sécurité contient les informations suivantes :

  • Action effectuée.
  • Utilisateur qui a effectué l’action.
  • La réussite ou l’échec de l’événement et l’heure à laquelle l’événement s’est produit.

Un paramètre de stratégie d’audit définit les catégories d’événements que Windows Server 2003 journalise dans le journal de sécurité sur chaque ordinateur. Le journal de sécurité vous permet de suivre les événements que vous spécifiez.

Lorsque vous auditez des événements Active Directory, Windows Server 2003 écrit un événement dans le journal de sécurité sur le contrôleur de domaine. Par exemple, un utilisateur tente de se connecter au domaine à l’aide d’un compte d’utilisateur de domaine. Si la tentative d’ouverture de session échoue, l’événement est enregistré sur le contrôleur de domaine, et non sur l’ordinateur sur lequel la tentative d’ouverture de session a été effectuée. Ce comportement se produit parce que c’est le contrôleur de domaine qui a essayé d’authentifier la tentative d’ouverture de session, mais qui n’a pas pu le faire.

Utilisez observateur d'événements pour afficher les événements que Windows Server 2003 journalise dans le journal de sécurité. Vous pouvez également archiver les fichiers journaux pour suivre les tendances au fil du temps. Par exemple, vous souhaitez déterminer l’utilisation d’imprimantes ou de fichiers, ou vérifier l’utilisation de ressources non autorisées.

Pour activer l’audit des objets Active Directory :

  • Configurez un paramètre de stratégie d’audit pour un contrôleur de domaine. Lorsque vous configurez un paramètre de stratégie d’audit, vous pouvez auditer des objets, mais vous ne pouvez pas spécifier l’objet que vous souhaitez auditer.
  • Configurez l’audit pour des objets Active Directory spécifiques. Une fois que vous avez spécifié les événements à auditer pour les fichiers, dossiers, imprimantes et objets Active Directory, Windows Server 2003 effectue le suivi et journalise ces événements.

Configurer un paramètre de stratégie d’audit pour un contrôleur de domaine

Par défaut, l’audit est désactivé. Pour les contrôleurs de domaine, un paramètre de stratégie d’audit est configuré pour tous les contrôleurs de domaine dans le domaine. Pour auditer les événements qui se produisent sur les contrôleurs de domaine, configurez un paramètre de stratégie d’audit qui s’applique à tous les contrôleurs de domaine dans un objet de stratégie de groupe (GPO) non local pour le domaine. Vous pouvez accéder à ce paramètre de stratégie via l’unité d’organisation Contrôleurs de domaine. Pour auditer l’accès utilisateur aux objets Active Directory, configurez la catégorie d’événement Audit d’accès au service d’annuaire dans le paramètre de stratégie d’audit.

Remarque

  • Vous devez accorder le droit d’utilisateur Gérer l’audit et le journal de sécurité sur l’ordinateur sur lequel vous souhaitez configurer un paramètre de stratégie d’audit ou consulter un journal d’audit. Par défaut, Windows Server 2003 accorde ces droits au groupe Administrateurs.
  • Les fichiers et dossiers que vous souhaitez auditer doivent se trouver sur des volumes NTFS (Système de fichiers Microsoft Windows NT).

Pour configurer un paramètre de stratégie d’audit pour un contrôleur de domaine :

  1. Sélectionnez Démarrer>les programmes>Outils d’administration, puis sélectionnez Utilisateurs et ordinateurs Active Directory.

  2. Dans le menu Affichage , sélectionnez Fonctionnalités avancées.

  3. Cliquez avec le bouton droit sur Contrôleurs de domaine, puis sélectionnez Propriétés.

  4. Sélectionnez l’onglet stratégie de groupe, sélectionnez Stratégie de contrôleur de domaine par défaut, puis modifier.

  5. Sélectionnez Configuration de l’ordinateur, double-cliquez sur Paramètres Windows, double-cliquez sur Paramètres de sécurité, double-cliquez sur Stratégies locales, puis double-cliquez sur Stratégie d’audit.

  6. Dans le volet droit, cliquez avec le bouton droit sur Auditer l’accès aux services d’annuaire, puis sélectionnez Propriétés.

  7. Sélectionnez Définir ces paramètres de stratégie, puis sélectionnez l’une des zones de case activée suivantes :

    • Réussite : cochez cette case case activée pour auditer les tentatives réussies pour la catégorie d’événement.
    • Échec : cochez cette case case activée pour auditer les tentatives ayant échoué pour la catégorie d’événement.

  8. Cliquez avec le bouton droit sur une autre catégorie d’événement que vous souhaitez auditer, puis sélectionnez Propriétés.

  9. Sélectionnez OK.

  10. Les modifications que vous apportez au paramètre de stratégie d’audit de votre ordinateur prennent effet uniquement lorsque le paramètre de stratégie est propagé ou appliqué à votre ordinateur. Effectuez l’une des étapes suivantes pour lancer la propagation de stratégie :

    • Tapez gpupdate /Target:computer à l’invite de commandes, puis appuyez sur Entrée.
    • Attendez la propagation automatique de la stratégie qui se produit à intervalles réguliers que vous pouvez configurer. Par défaut, la propagation de la stratégie se produit toutes les cinq minutes.

  11. Ouvrez le journal de sécurité pour afficher les événements enregistrés.

    Remarque

    Si vous êtes administrateur de domaine ou d’entreprise, vous pouvez activer l’audit de sécurité pour les stations de travail, les serveurs membres et les contrôleurs de domaine à distance.

Configurer l’audit pour des objets Active Directory spécifiques

Après avoir configuré un paramètre de stratégie d’audit, vous pouvez configurer l’audit pour des objets spécifiques, tels que des utilisateurs, des ordinateurs, des unités organisationnelles ou des groupes, en spécifiant à la fois les types d’accès et les utilisateurs dont vous souhaitez auditer l’accès. Pour configurer l’audit pour des objets Active Directory spécifiques :

  1. Sélectionnez Démarrer>les programmes>Outils d’administration, puis sélectionnez Utilisateurs et ordinateurs Active Directory.

  2. Veillez à sélectionner Fonctionnalités avancées dans le menu Affichage .

  3. Cliquez avec le bouton droit sur l’objet Active Directory que vous souhaitez auditer, puis sélectionnez Propriétés.

  4. Sélectionnez l’onglet Sécurité , puis sélectionnez Avancé.

  5. Sélectionnez l’onglet Audit , puis sélectionnez Ajouter.

  6. Effectuez l’une des opérations suivantes :

    • Tapez le nom de l’utilisateur ou du groupe dont vous souhaitez auditer l’accès dans la zone Entrez le nom de l’objet à sélectionner , puis sélectionnez OK.
    • Dans la liste des noms, double-cliquez sur l’utilisateur ou le groupe dont vous souhaitez auditer l’accès.

  7. Sélectionnez la zone Réussite ou Échec de l’case activée pour les actions que vous souhaitez auditer, puis sélectionnez OK.

  8. Sélectionnez OK, puis OK.

Résoudre les problèmes

La taille du journal de sécurité est limitée. En raison de cette limitation, Microsoft vous recommande de sélectionner soigneusement les fichiers et les dossiers que vous souhaitez auditer. Tenez également compte de la quantité d’espace disque que vous souhaitez consacrer au journal de sécurité. La taille maximale est définie dans observateur d'événements.