如何在 Windows Server 2003 中审核 Active Directory 对象

文章编号: 814595 - 查看本文应用于的产品
展开全部 | 关闭全部

本页

概要

本文分步介绍如何使用 Windows Server 2003 审核功能来跟踪 Active Directory 中的用户活动和系统范围的事件。

使用 Windows Server 2003 审核功能,您可以跟踪计算机上的用户活动和称为事件的 Windows Server 2003 活动。使用审核功能时,可以指定要写入安全日志的事件。例如,安全日志可以维护有效和无效登录尝试的记录,以及与创建、打开或删除文件或其他对象相关的事件的记录。安全日志的审核条目包含以下信息:
  • 执行的操作。
  • 执行操作的用户。
  • 事件的成功或失败以及事件发生的时间。
审核策略设置定义 Windows Server 2003 在每台计算机上的安全日志中记录的事件的类别。安全日志使您能够跟踪指定的事件。

当你审核 Active Directory 事件时,Windows Server 2003 会向域控制器上的安全日志中写入一个事件。例如,如果用户尝试使用域用户帐户登录到域,而登录尝试不成功,则该事件将被记录到域控制器上,而不是用于执行登录的计算机上。发生这种现象的原因在于,是域控制器尝试验证登录尝试但没有成功。

可以使用事件查看器查看 Windows Server 2003 在安全日志中记录的事件。您还可以存档日志文件来跟踪事态发展趋势。例如,如果需要确定打印机或文件的使用情况或者需要验证未授权资源的使用情况,就可以存档日志文件来跟踪它们。

要启用对 Active Directory 对象的审核,请按照下列步骤操作:
  • 为域控制器配置审核策略设置。在配置审核策略设置时,可以审核对象,但无法指定要审核的对象。
  • 为特定的 Active Directory 对象配置审核功能。当您为文件、文件夹、打印机和 Active Directory 对象指定要审核的事件后,Windows Server 2003 会跟踪并记录这些事件。

为域控制器配置审核策略设置

默认情况下,审核功能是关闭的。对于域控制器来说,审核策略设置是为域中的所有域控制器配置的。要审核域控制器上发生的事件,请在非本地组策略对象 (GPO) 中为域配置一个应用于所有域控制器的审核策略设置。您可以通过域控制器组织单位来访问此策略设置。要审核用户对 Active Directory 对象的访问权,请在审核策略设置中配置“审核目录服务访问”事件类别。

注意:

  • 必须向要在其上配置审核策略设置或查看审核日志的计算机授予“管理审核和安全日志”用户权限。默认情况下,Windows Server 2003 会向管理员组授予这些权限。
  • 准备审核的文件和文件夹必须在 Microsoft Windows NT 文件系统 (NTFS) 卷上。
要为域控制器配置审核策略设置,请按照下列步骤操作:
  1. 单击“开始”,指向“程序”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。
  2. 在“查看”菜单上,单击“高级功能”。
  3. 右键单击“域控制器”,然后单击“属性”。
  4. 单击“组策略”选项卡,单击“默认域控制器策略”,然后单击“编辑”。
  5. 单击“计算机配置”,双击“Windows 设置”,双击“安全设置”,双击“本地策略”,然后双击“审核策略”。
  6. 在右窗格中,右键单击“审核目录服务访问”,然后单击“属性”。
  7. 单击“定义这些策略设置”,然后单击以选择下面两个复选框或其中一个复选框:
    • 成功:单击以选择此复选框来审核该事件类别的成功尝试。
    • 失败:单击以选择此复选框来审核该事件类别的失败尝试。
  8. 右键单击您要审核的任何其他事件类别,然后单击“属性”。
  9. 单击“确定”。
  10. 因为对计算机的审核策略设置所做的更改只有在策略设置被传播到或应用到计算机时才生效,所以应完成以下任一步骤来启动策略传播:
    • 在命令提示符下键入 gpupdate /Target:computer,然后按 Enter 键。
    • 等待自动传播策略,该传播操作按您配置的固定时间间隔进行。默认情况下,策略每 5 分钟传播一次。
  11. 打开安全日志查看记录的事件。

    注意:如果您是域管理员或企业管理员,则可以为工作站、成员服务器和域控制器远程启用安全审核功能。

为特定的 Active Directory 对象配置审核功能

配置审核策略设置后,可以通过指定访问类型和要审核其访问权的用户来为特定对象(如用户、计算机、组织单位或组)配置审核功能。要为特定的 Active Directory 对象配置审核功能,请按照下列步骤操作:
  1. 单击“开始”,指向“程序”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。
  2. 检查“视图”菜单上的“高级功能”旁边是否有复选标记,确保选中了该命令。
  3. 右键单击要审核的 Active Directory 对象,然后单击“属性”。
  4. 单击“安全”选项卡,然后单击“高级”。
  5. 单击“审核”选项卡,然后单击“添加”。
  6. 完成下列操作之一:
    • 在“输入要选择的对象名称”框中输入要审核其访问权的用户或组的名称,然后单击“确定”。
    • 在名称列表中,双击要审核其访问权的用户或组。
  7. 单击以选择您要审核的操作的“成功”复选框或“失败”复选框,然后单击“确定”。
  8. 单击“确定”,再单击“确定”。

疑难解答

安全日志的大小是有限制的。因此,Microsoft 建议您选择要审核的文件和文件夹要注意,还应考虑用于安全日志的磁盘空间大小。最大大小是在“事件查看器”中定义的。

回到顶端 | 提供反馈

属性

文章编号: 814595 - 最后修改: 2005年10月12日 - 修订: 5.1
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
关键字:?
kbhowtomaster kbactivedirectory KB814595
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
回到顶端 | 提供反馈

提供反馈

 
回到顶端回到顶端