COMO: Auditar objectos do Active Directory no Windows Server 2003

O suporte para Windows Server 2003 terminou a 14 de Julho de 2015

A Microsoft terminou o suporte para Windows Server 2003 a 14 de Julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 814595
Para obter uma versão do Microsoft Windows 2000 deste artigo, consulte o seguinte artigo da Knowledge Base:
314955 COMO: Auditar objectos do Active Directory no Windows 2000

NESTA TAREFA

Sumário
Este artigo passo a passo descreve como utilizar a auditoria para controlar actividades de utilizador e eventos de sistema no Active Directory do Windows Server 2003.

Quando utiliza o modo de auditoria do Windows Server 2003, pode controlar as actividades do utilizador e actividades de Windows Server 2003 que recebem eventos, num computador. Quando utilizar a auditoria, pode especificar quais os eventos são escritos no registo de segurança. Por exemplo, o registo de segurança pode manter um registo de ambos válido e tentativas de início de sessão inválido e eventos relacionados com criar, abrir ou eliminar ficheiros ou outros objectos. Uma entrada de auditoria no registo de segurança contém as seguintes informações:
  • A acção que foi efectuada.
  • O utilizador que executou a acção.
  • O êxito ou falha do evento e o tempo que theevent ocorreu.
Uma definição de política de auditoria define as categorias de eventos que o Windows Server 2003 regista no registo de segurança em cada computador. O registo de segurança torna possível a rastrear os eventos que especificar.

Quando efectua uma auditoria a eventos do Active Directory, o Windows Server 2003 escreve um evento no registo de segurança no controlador de domínio. Por exemplo, se um utilizador tentar iniciar sessão no domínio utilizando uma conta de utilizador de domínio e a tentativa de início de sessão não tiver êxito, o evento é registado no controlador de domínio e não no computador em que foi efectuada a tentativa de início de sessão. Este comportamento ocorre porque é o controlador de domínio que tentou a autenticação a tentativa de início de sessão, mas não pôde fazê-lo.

Utilize o Visualizador de eventos para visualizar eventos que o Windows Server 2003 regista no registo de segurança. Também pode arquivar ficheiros de registo para controlar as tendências ao longo do tempo. Por exemplo, se pretender determinar a utilização de impressoras ou ficheiros, ou se pretende verificar a utilização de recursos não autorizados.

Para activar a auditoria de objectos do Active Directory:
  • Configure uma definição de política de auditoria para um controlador de domínio.Quando configura uma definição de política de auditoria, é possível efectuar auditorias a objectos, mas youcannot Especifica o objecto que pretende auditar.
  • Configure a auditoria para objectos específicos do Active Directory.Depois de especificar os acontecimentos para auditoria de ficheiros, pastas, impressoras e objectos ActiveDirectory, o Windows Server 2003 controla e regista estes eventos.
regressar ao início

Configurar uma definição de política de auditoria para um controlador de domínio

Por predefinição, a auditoria está desactivada. Para controladores de domínio, uma definição de política de auditoria é configurada para todos os controladores de domínio no domínio. Para auditar eventos que ocorrem em controladores de domínio, configure uma definição de política de auditoria que se aplica a todos os controladores de domínio num objecto de política de grupo não local (GPO) para o domínio. Pode aceder a esta definição de política através da unidade organizacional de controladores de domínio. Para auditar o acesso de utilizador a objectos do Active Directory, configure a categoria de evento de auditar acesso ao serviço de directórios na definição da política de auditoria.

NOTAS

  • Tem de conceder o direito de utilizador Gerir auditoria e registo de segurança para o computador em que pretende configurar um policysetting de auditoria ou rever um registo de auditoria. Por predefinição, o Windows Server 2003 concede theserights ao grupo de administradores.
  • Os ficheiros e pastas que pretende auditar tem de ser onMicrosoft Windows NT volumes do sistema (NTFS).
Para configurar uma definição de política de auditoria para um controlador de domínio:
  1. Clique em Iniciar, aponte paraprogramas, aponte para Ferramentas administrativas, clique em andthen computadores e utilizadores do Active Directory.
  2. No menu Ver , clique em AdvancedFeatures.
  3. Botão direito do rato, Controladores de domínioe thenclick Propriedades.
  4. Clique no separador ' Política de grupo , clique emPolítica predefinida de controlador de domínioe, em seguida, clique emEditar.
  5. Clique em Configuração do computador, faça duplo clique emDefinições do Windows, faça duplo clique em SecuritySettings, faça duplo clique em Políticas locaise de thendouble-clique em Política de auditoria.
  6. No painel da direita, faça duplo clique DirectoryServices auditar o acessoe, em seguida, clique em Propriedades.
  7. Clique em Definir estas definições de política, andthen clique para seleccionar uma ou ambas as caixas de verificação seguintes:
    • Êxito: clique para seleccionar esta caixa de verificação para auditar tentativas com êxito para a categoria de evento.
    • Falha: clique para seleccionar esta caixa de verificação para auditar tentativas falhadas para a categoria de evento.
  8. Clique em qualquer outra categoria de evento que pretende toaudit e, em seguida, clique em Propriedades.
  9. Clique em OK.
  10. Uma vez que as alterações efectuadas entrem em vigor do seu computador auditpolicy definição apenas quando a definição de política é propagada orapplied para o computador, efectue qualquer um dos seguintes passos para a propagação de initiatepolicy:
    • Tipo gpupdate /target: Computer na linha de comandos e prima ENTER.
    • Aguarde que a propagação da política automático que ocorre a intervalos regulares, que pode configurar. Por predefinição, a propagação da política ocorre a cada cinco minutos.
  11. Abra o registo de segurança para visualizar eventos registados.

    Nota Se for um domínio ou administrador da empresa, youcan Activar auditoria remotamente para estações de trabalho, servidores membro e domaincontrollers de segurança.
regressar ao início

Configurar a auditoria de objectos específicos do Active Directory

Depois de configurar uma definição de política de auditoria, pode configurar a auditoria para objectos específicos, tais como utilizadores, computadores, unidades organizacionais ou grupos, especificando ambos os tipos de acesso e os utilizadores cujo acesso que pretende auditar. Para configurar a auditoria para objectos específicos do Active Directory:
  1. Clique em Iniciar, aponte paraprogramas, aponte para Ferramentas administrativas, clique andthen computadores e utilizadores do Active Directory.
  2. Certifique-se de que isselected de Funcionalidades avançadas no menu Ver , certificando-se de que hasa o comando marca de verificação.
  3. Com o botão direito objecto do Active Directory que pretende toaudit e, em seguida, clique em Propriedades.
  4. Clique no separador segurança e, em seguida, clique emAvançadas.
  5. Clique no separador auditoria e, em seguida, clique emAdicionar.
  6. Efectue uma das seguintes opções:
    • Escreva o nome de utilizador ou grupo cujo acesso pretende auditar na caixa Introduza o nome de objecto a seleccionar e, em seguida, clique em OK.
    • Na lista de nomes, faça duplo clique sobre o utilizador ou grupo cujo acesso pretende auditar.
  7. Clique para seleccionar a caixa de verificação com êxitoou a caixa de verificação falhou para as acções que youwant para auditar e, em seguida, clique em OK.
  8. Clique em OKe, em seguida, clique emOK.
regressar ao início

Resolução de problemas

O tamanho do registo de segurança é limitado. Por este motivo, a Microsoft recomenda que seleccione cuidadosamente os ficheiros e as pastas que pretende auditar. Considere também a quantidade de espaço em disco que pretende disponibilizar para o registo de segurança. O tamanho máximo está definido no Visualizador de eventos.

regressar ao início

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 814595 - Última Revisão: 03/15/2015 07:58:00 - Revisão: 6.0

Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition

  • kbactivedirectory kbhowtomaster kbmt KB814595 KbMtpt
Comentários