Auditar objetos do Active Directory no Windows Server 2003

  • Artigo

Este artigo passo a passo descreve como usar a auditoria do Windows Server 2003 para acompanhar atividades do usuário e eventos em todo o sistema no Active Directory.

Aplica-se a: Windows Server 2003
Número de KB original: 814595

Resumo

Você pode usar a auditoria do Windows Server 2003 para acompanhar as atividades do usuário e as atividades do Windows Server 2003 nomeadas em um computador. Ao usar a auditoria, você pode especificar quais eventos são gravados no log de segurança. Por exemplo, o log de segurança pode manter um registro de tentativas e eventos de logon válidos e inválidos relacionados à criação, abertura ou exclusão de arquivos ou outros objetos. Uma entrada de auditoria no log de segurança contém as seguintes informações:

  • A ação que foi feita.
  • O usuário que tomou a ação.
  • O sucesso ou falha do evento e a hora em que o evento ocorreu.

Uma configuração de política de auditoria define as categorias de eventos que o Windows Server 2003 registra no log de segurança em cada computador. O log de segurança permite que você acompanhe os eventos especificados.

Ao auditar eventos do Active Directory, o Windows Server 2003 grava um evento no log de segurança no controlador de domínio. Por exemplo, um usuário tenta fazer logon no domínio usando uma conta de usuário de domínio. Se a tentativa de logon não tiver êxito, o evento será registrado no controlador de domínio, não no computador em que a tentativa de logon foi feita. Esse comportamento ocorre porque é o controlador de domínio que tentou autenticar a tentativa de logon, mas não pôde fazê-lo.

Use Visualizador de Eventos para exibir eventos que o Windows Server 2003 registra no log de segurança. Você também pode arquivar arquivos de log para acompanhar tendências ao longo do tempo. Por exemplo, você deseja determinar o uso de impressoras ou arquivos ou verificar o uso de recursos não autorizados.

Para habilitar a auditoria de objetos do Active Directory:

  • Configure uma configuração de política de auditoria para um controlador de domínio. Ao configurar uma configuração de política de auditoria, você pode auditar objetos, mas não pode especificar o objeto que deseja auditar.
  • Configure a auditoria para objetos específicos do Active Directory. Depois de especificar os eventos a serem auditados para arquivos, pastas, impressoras e objetos do Active Directory, o Windows Server 2003 rastreia e registra esses eventos.

Configurar uma configuração de política de auditoria para um controlador de domínio

Por padrão, a auditoria é desativada. Para controladores de domínio, uma configuração de política de auditoria é configurada para todos os controladores de domínio no domínio. Para auditar eventos que ocorrem em controladores de domínio, configure uma configuração de política de auditoria que se aplica a todos os controladores de domínio em um GPO (objeto Política de Grupo) não local para o domínio. Você pode acessar essa configuração de política por meio da unidade organizacional controladores de domínio. Para auditar o acesso do usuário a objetos do Active Directory, configure a categoria de evento acesso ao serviço do Audit Directory na configuração da política de auditoria.

Observação

  • Você deve conceder o direito de gerenciar o usuário do Log de Auditoria e Segurança para o computador em que deseja configurar uma configuração de política de auditoria ou revisar um log de auditoria. Por padrão, o Windows Server 2003 concede esses direitos ao grupo Administradores.
  • Os arquivos e pastas que você deseja auditar devem estar nos volumes do NTFS (sistema de arquivos) da Microsoft Windows NT.

Para configurar uma configuração de política de auditoria para um controlador de domínio:

  1. Selecione Iniciar>Ferramentas Administrativas>de Programase selecione Usuários e Computadores do Active Directory.

  2. No menu Exibir , selecione Recursos Avançados.

  3. Clique com o botão direito do mouse em Controladores de Domínio e selecione Propriedades.

  4. Selecione a guia Política de Grupo, selecione Política padrão do controlador de domínio e selecione Editar.

  5. Selecione Configuração do Computador, clique duas vezes em Configurações do Windows, clique duas vezes em Configurações de Segurança, clique duas vezes em Políticas Locais e clique duas vezes em Política de Auditoria.

  6. No painel direito, clique com o botão direito do mouse em Audit Directory Services Access e selecione Propriedades.

  7. Selecione Definir Essas Configurações de Política e selecione uma ou ambas as seguintes caixas de marcar:

    • Êxito: selecione esta caixa marcar para auditar tentativas bem-sucedidas para a categoria de evento.
    • Falha: selecione esta caixa marcar para auditar tentativas com falha para a categoria de evento.

  8. Clique com o botão direito do mouse em qualquer outra categoria de evento que você deseja auditar e selecione Propriedades.

  9. Selecione OK.

  10. As alterações feitas na configuração da política de auditoria do computador só entrarão em vigor quando a configuração da política for propagada ou aplicada ao computador. Conclua uma das seguintes etapas para iniciar a propagação da política:

    • Digite gpupdate /Target:computer no prompt de comando e pressione ENTER.
    • Aguarde a propagação automática da política que ocorre em intervalos regulares que você pode configurar. Por padrão, a propagação da política ocorre a cada cinco minutos.

  11. Abra o log de segurança para exibir eventos registrados.

    Observação

    Se você for um domínio ou um administrador corporativo, poderá habilitar a auditoria de segurança para estações de trabalho, servidores membros e controladores de domínio remotamente.

Configurar a auditoria para objetos específicos do Active Directory

Depois de configurar uma configuração de política de auditoria, você pode configurar a auditoria para objetos específicos, como usuários, computadores, unidades organizacionais ou grupos, especificando os tipos de acesso e os usuários cujo acesso você deseja auditar. Para configurar a auditoria para objetos específicos do Active Directory:

  1. Selecione Iniciar>Ferramentas Administrativas>de Programase selecione Usuários e Computadores do Active Directory.

  2. Selecione Recursos Avançados no menu Exibir .

  3. Clique com o botão direito do mouse no objeto Active Directory que você deseja auditar e selecione Propriedades.

  4. Selecione a guia Segurança e selecione Avançado.

  5. Selecione a guia Auditoria e selecione Adicionar.

  6. Execute uma das seguintes ações:

    • Digite o nome do usuário ou do grupo cujo acesso você deseja auditar na caixa Inserir o nome do objeto e selecione OK.
    • Na lista de nomes, clique duas vezes no usuário ou no grupo cujo acesso você deseja auditar.

  7. Selecione a caixa Bem-sucedida ou a marcar falha para as ações que você deseja auditar e selecione OK.

  8. Selecione OK e, em seguida, selecione OK.

Solução de problemas

O tamanho do log de segurança é limitado. Devido a essa limitação, a Microsoft recomenda que você selecione cuidadosamente os arquivos e as pastas que deseja auditar. Considere também a quantidade de espaço em disco que você deseja dedicar ao log de segurança. O tamanho máximo é definido em Visualizador de Eventos.