文章編號: 814595 - 上次校閱: 2007年2月28日 - 版次: 5.3

如何: 稽核在 Windows Server 2003 的 Active Directory 物件

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

本文將逐步告訴您,如何使用 Windows Server 2003 稽核追蹤使用者活動和 Active Directory 中的全系統的事件。

當您使用 Windows Server 2003 稽核時,您可以追蹤使用者活動和 Windows Server 2003 活動命名的電腦上的事件。當您使用稽核時,您可以指定哪些事件會寫入安全性記錄檔。比方說安全性記錄檔可以維護兩者有效的資料錄和無效的登入嘗試與建立、 開啟,或刪除檔案或其他物件與關聯的事件。在安全性記錄檔中的一個稽核項目包含下列資訊:
  • 已執行的動作。
  • 執行動作之使用者。
  • [成功] 或 [失敗] 事件與事件發生的時間中。
稽核原則設定定義 Windows Server 2003 會在每台電腦上的 [安全性記錄檔中記錄的事件類別的目錄。安全性記錄檔可讓您追蹤您所指定的事件。

當稽核 Active Directory 事件時,將 Windows Server 2003 寫入事件至安全性記錄檔在網域控制站上。比方說如果使用者嘗試登入網域使用網域使用者帳戶和登入嘗試不成功,事件錄製在網域控制站上] 和 [不在電腦登入嘗試進行的地方。它是網域控制站,嘗試驗證登入嘗試,但是可能不這麼做,就會發生這個問題。

使用事件檢視器來檢視 Windows Server 2003 會在安全性記錄檔中記錄的事件。您也可以封存記錄檔來追蹤經過一段時間的趨勢。比方說如果您想決定使用的印表機或檔案,或如果您想要確認使用未經授權的資源。

若要啟用 Active Directory 物件的稽核:
  • 設定網域控制站的稽核原則設定。 當您在設定稽核原則設定時稽核物件,但是您不能指定您想要稽核的物件。
  • 設定特定的 Active Directory 物件的稽核。 指定要稽核的檔案、 資料夾、 印表機,及 Active Directory 物件事件之後,Windows Server 2003 會追蹤並記錄這些事件。
回此頁最上方

設定網域控制站的稽核原則設定

預設情況下,稽核被關閉的。基於網域控制站稽核原則設定均設定為網域中的所有網域控制站。若要稽核網域控制站發生的事件,設定套用於非本機群組原則] 中的所有網域控制站的稽核原則設定為網域的物件 (GPO)。您可以透過網域控制站組織單位,來存取這個原則設定。若要稽核對 Active Directory 物件的使用者存取,設定 [稽核原則設定中的 [稽核目錄服務存取事件類別目錄]。

備忘稿

  • 您必須授與您要設定稽核原則設定,或檢閱稽核記錄檔之電腦的管理稽核及安全性記錄檔使用者權。預設情況下,Windows Server 2003 會授與這些系統管理員群組的權限。
  • 檔案與您想要稽核的資料夾必須在 Microsoft Windows NT 檔案系統 (NTFS) 磁碟區上。
若要設定網域控制站的稽核原則設定:
  1. 按一下 [開始],指向 [程式集]、 指向 [系統管理工具],然後再按一下 [Active Directory 使用者和電腦]。
  2. 按一下 [檢視] 功能表 進階的功能
  3. 網域控制站 上, 按一下滑鼠右鍵,然後再按 [內容]
  4. 按一下 [群組原則] 索引標籤,按一下 [預設網域控制站原則,然後再按一下 [編輯]。
  5. 按一下 [電腦設定]、 連按兩下 [Windows 設定],連按兩下 [安全性設定]、 按兩下 [本機原則],然後再按兩下 [稽核原則]。
  6. 在右窗格中以滑鼠右鍵按一下 稽核目錄服務存取,然後按一下 [內容
  7. 按一下 [定義這些原則設定,然後再按一下來選取一或兩個下列核取方塊:
    • 成功: 按一下以選取此核取方塊,若要稽核成功的嘗試事件的分類。
    • 失敗: 按一下以選取此核取方塊,可稽核事件類別目錄的失敗的嘗試。
  8. 您想要稽核的任何其他事件類別上按一下滑鼠右鍵,然後按一下 [內容]。
  9. 按一下 [確定]
  10. 因為在您所做的變更到您的電腦稽核原則設定生效,僅在傳播或套用在您的電腦原則設定,完成下列步驟來啟動原則傳播之一:
    • 在命令提示字元下輸入 gpupdate /Target:computer,,然後按下 ENTER。
    • 等待您可以設定定期發生的自動原則傳播。預設情況下,原則傳播發生於每隔五分鐘。
  11. 開啟安全性記錄檔,以檢視已記錄的事件。

    附註如果您是在網域或企業系統管理員,您可以啟用遠端稽核工作站、 成員伺服器與網域控制站的安全性。
回此頁最上方

設定特定的 Active Directory 物件的稽核

您設定稽核原則設定之後,您可以設定等使用者、 電腦、 組織單位或群組的特定物件藉由指定類型的存取和使用者您想要稽核其存取的稽核。若要設定特定的 Active Directory 的稽核物件:
  1. 按一下 [開始],指向 [程式集]、 指向 [系統管理工具],然後再按一下 [Active Directory 使用者和電腦]。
  2. 請確定 進階功能 已選取在 [檢視] 功能表上,以確定命令有它旁邊的核取記號。
  3. 您想要稽核,在 Active Directory 物件上按一下滑鼠右鍵,然後按一下 [內容]。
  4. 按一下 [安全性] 索引標籤,然後按一下 [進階]。
  5. 按一下 [稽核] 索引標籤,然後按一下 [新增]。
  6. 完成下列其中一項:
    • 輸入使用者或群組您想要在 [輸入物件名稱來選取] 方塊中,稽核其存取的名稱,然後按一下 [確定]
    • 連按兩下 [名稱清單的 [使用者] 或 [群組其您想要稽核的存取]。
  7. 按一下以選取其中一個 成功] 核取方塊或 [失敗] 核取方塊,為您想要稽核,然後按一下 [確定] 的動作。
  8. 按一下 [確定],然後再按一下 [確定]
回此頁最上方

疑難排解

安全性記錄檔的大小是有限的。有鑑於此,Microsoft 建議您仔細地選取檔案和資料夾,您想要稽核。也請考慮您要分配給安全性記錄檔的磁碟空間數量。在 「 事件檢視器 」 中定義的大小上限。

回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
回此頁最上方
關鍵字:?
kbmt kbactivedirectory kbhowtomaster KB814595 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:814595? (http://support.microsoft.com/kb/814595/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。