Аудит объектов Active Directory в Windows Server 2003

  • Статья

В этой пошаговой статье описывается, как использовать аудит Windows Server 2003 для отслеживания действий пользователей и системных событий в Active Directory.

Применяется к: Windows Server 2003
Исходный номер базы знаний: 814595

Сводка

Аудит Windows Server 2003 можно использовать для отслеживания действий пользователей и действий Windows Server 2003 с именами событий на компьютере. При использовании аудита можно указать, какие события записываются в журнал безопасности. Например, в журнале безопасности могут храниться записи как допустимых, так и недопустимых попыток входа и событий, связанных с созданием, открытием или удалением файлов или других объектов. Запись аудита в журнале безопасности содержит следующие сведения:

  • Выполненное действие.
  • Пользователь, который выполнил действие.
  • Успех или сбой события и время его возникновения.

Параметр политики аудита определяет категории событий, которые Windows Server 2003 регистрирует в журнале безопасности на каждом компьютере. Журнал безопасности позволяет отслеживать указанные события.

При аудите событий Active Directory Windows Server 2003 записывает событие в журнал безопасности на контроллере домена. Например, пользователь пытается войти в домен с помощью учетной записи пользователя домена. Если попытка входа не удалась, событие записывается на контроллере домена, а не на компьютере, где была выполнена попытка входа. Это происходит потому, что это контроллер домена, который пытался проверить подлинность попытки входа, но не смог этого сделать.

Используйте Просмотр событий для просмотра событий, которые Windows Server 2003 регистрирует в журнале безопасности. Вы также можете архивировать файлы журналов для отслеживания тенденций с течением времени. Например, необходимо определить использование принтеров или файлов или проверить использование несанкционированных ресурсов.

Чтобы включить аудит объектов Active Directory, выполните приведенные далее действия.

  • Настройте параметр политики аудита для контроллера домена. При настройке параметра политики аудита можно выполнять аудит объектов, но нельзя указать объект, который требуется выполнить аудит.
  • Настройте аудит для определенных объектов Active Directory. После указания событий для аудита файлов, папок, принтеров и объектов Active Directory Windows Server 2003 отслеживает и регистрирует эти события.

Настройка параметра политики аудита для контроллера домена

По умолчанию аудит отключен. Для контроллеров домена параметр политики аудита настраивается для всех контроллеров домена в домене. Для аудита событий, происходящих на контроллерах домена, настройте параметр политики аудита, который применяется ко всем контроллерам домена в нелокомном объекте групповая политика (GPO) для домена. Доступ к этому параметру политики можно получить через подразделение Контроллеры домена. Для аудита доступа пользователей к объектам Active Directory настройте категорию событий Audit Directory Service Access в параметре политики аудита.

Примечание.

  • Необходимо предоставить право пользователя Управление журналом аудита и безопасности компьютеру, на котором нужно настроить параметр политики аудита или просмотреть журнал аудита. По умолчанию Windows Server 2003 предоставляет эти права группе администраторов.
  • Файлы и папки, которые требуется выполнить аудит, должны находиться на томах файловой системы Microsoft Windows NT (NTFS).

Чтобы настроить параметр политики аудита для контроллера домена, выполните следующие действия:

  1. Выберите Запустить>программы>Администрирование, а затем выберите Пользователи и компьютеры Active Directory.

  2. В меню Вид выберите Дополнительные функции.

  3. Щелкните правой кнопкой мыши Контроллеры домена и выберите Свойства.

  4. Перейдите на вкладку групповая политика, выберите Политика контроллера домена по умолчанию и нажмите кнопку Изменить.

  5. Выберите Конфигурация компьютера, дважды щелкните Параметры Windows, дважды щелкните Параметры безопасности, дважды щелкните Локальные политики, а затем дважды щелкните Политика аудита.

  6. В области справа щелкните правой кнопкой мыши Аудит доступа к службам каталогов и выберите Пункт Свойства.

  7. Выберите Определить эти параметры политики, а затем выберите одно или оба из следующих проверка полей:

    • Успешно. Выберите это поле проверка для аудита успешных попыток для категории событий.
    • Сбой. Выберите это поле проверка для аудита неудачных попыток для категории событий.

  8. Щелкните правой кнопкой мыши любую другую категорию событий, которую требуется выполнить аудит, и выберите пункт Свойства.

  9. Нажмите ОК.

  10. Изменения, внесенные в параметр политики аудита компьютера, вступают в силу только в том случае, если параметр политики распространяется или применяется к компьютеру. Выполните одно из следующих действий, чтобы инициировать распространение политики:

    • Введите gpupdate /Target:computer в командной строке и нажмите клавишу ВВОД.
    • Дождитесь автоматического распространения политики, которое происходит через регулярные интервалы, которые можно настроить. По умолчанию распространение политики происходит каждые пять минут.

  11. Откройте журнал безопасности, чтобы просмотреть зарегистрированные события.

    Примечание.

    Если вы являетесь администратором домена или предприятия, вы можете удаленно включить аудит безопасности для рабочих станций, рядовых серверов и контроллеров домена.

Настройка аудита для определенных объектов Active Directory

После настройки параметра политики аудита можно настроить аудит для определенных объектов, таких как пользователи, компьютеры, подразделения или группы, указав как типы доступа, так и пользователей, доступ которых требуется выполнить аудит. Чтобы настроить аудит для определенных объектов Active Directory, выполните следующие действия:

  1. Выберите Запустить>программы>Администрирование, а затем выберите Пользователи и компьютеры Active Directory.

  2. Убедитесь, что в меню Вид выбран пункт Дополнительные функции.

  3. Щелкните правой кнопкой мыши объект Active Directory, который требуется выполнить аудит, и выберите пункт Свойства.

  4. Перейдите на вкладку Безопасность и выберите Дополнительно.

  5. Перейдите на вкладку Аудит и нажмите кнопку Добавить.

  6. Выполните одно из следующих действий.

    • Введите имя пользователя или группы, доступ к которой требуется выполнить аудит, в поле Введите имя выбранного объекта , а затем нажмите кнопку ОК.
    • В списке имен дважды щелкните пользователя или группу, доступ к которой требуется провести аудит.

  7. Выберите поле Успешно или Неудачно проверка для действий, которые требуется выполнить аудит, а затем нажмите кнопку ОК.

  8. Нажмите кнопку ОК, а затем нажмите кнопку ОК.

Устранение неполадок

Размер журнала безопасности ограничен. Из-за этого ограничения корпорация Майкрософт рекомендует тщательно выбирать файлы и папки, которые требуется выполнить аудит. Также учитывайте объем дискового пространства, который вы хотите выделить для журнала безопасности. Максимальный размер определяется в Просмотр событий.