ПРАКТИЧЕСКОЕ руководство: Аудита объектов Active Directory в Windows Server 2003

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 814595
Версию данной статьи Microsoft Windows 2000 обратитесь к следующей статье базы знаний Майкрософт:
314955 ПРАКТИЧЕСКОЕ руководство: Аудита объектов Active Directory в Windows 2000

В ЭТОЙ ЗАДАЧЕ

Аннотация
В этой статье описывается, как использовать аудит для отслеживания действий пользователей и системных событиях в Active Directory в Windows Server 2003.

При использовании аудита в Windows Server 2003, можно отслеживать действия пользователя и действий, Windows Server 2003, которые называются событий на компьютере. При использовании аудита, можно указать, какие события записываются в журнал безопасности. Например в журнал безопасности можно вести запись допустимы и неверных попыток входа и события, связанные с созданием, открытие или удаление файлов и других объектов. Записи аудита в журнале безопасности содержит следующие сведения:
  • Выполненное действие.
  • Пользователя, выполнившего данное действие.
  • На успешность или ошибку события и время возникновения, theevent.
Политика аудита определяет категории событий, Windows Server 2003 регистрирует в журнале безопасности на каждом компьютере. Журнал безопасности позволяет отслеживать события, которые можно задать.

Когда аудит Active Directory Windows Server 2003 на контроллере домена записывает событие в журнал безопасности. Например если пользователь пытается выполнить вход в домен с использованием учетной записи пользователя домена и попытка входа завершается неудачно, на контроллере домена, а не на компьютере, где была сделана попытка входа записывается событие. Это происходит потому, что он является контроллером домена, который предпринял попытку проверки подлинности при входе, но не могли бы этого сделать.

Используйте Просмотр событий для просмотра событий, Windows Server 2003 записывает в журнал безопасности. Также можно архивировать файлы журнала для отслеживания тенденций с течением времени. Например для определения использования принтеров и файлов или для проверки использования несанкционированного ресурсов.

Чтобы включить аудит объектов Active Directory:
  • Настройте параметр политики аудита для контроллеров домена.При настройке параметра политики аудита можно проводить аудит объектов, но youcannot указать объект, который следует проводить аудит.
  • Настройка аудита для конкретных объектов Active Directory.После указания события аудита для файлов, папок, принтеров и объектов ActiveDirectory Windows Server 2003 отслеживает и записывает эти события.
к началу статьи

Настроить параметр политики аудита для контроллеров домена

По умолчанию аудит отключен. Для контроллеров домена политика аудита настраивается для всех контроллеров домена в домене. Аудит событий, происходящих на контроллерах домена, настройте параметр политики аудита для объекта групповой политики (GPO) не локального домена все контроллеры домена. Этот параметр политики доступен в подразделении контроллеров домена. Для аудита доступа пользователей к объектам Active Directory, настройте категории событий аудита доступа к службе каталогов в политике аудита.

ЗАМЕТКИ

  • Необходимо предоставить userright Управление аудитом и журналом безопасности на компьютере, где требуется настройка аудита policysetting или просмотрите журнал аудита. По умолчанию Windows Server 2003 предоставляет theserights в группу «Администраторы».
  • Файлы и папки, которые нужно провести аудит должен быть томах с файловой системой (NTFS) Windows NT onMicrosoft.
Чтобы настроить параметр политики аудита для контроллеров домена:
  1. Нажмите кнопку Пуск, выберите пунктпрограммы, точки на Администрированиеandthen выберите команду Active Directory — пользователи и компьютеры.
  2. В меню Вид выберите команду AdvancedFeatures.
  3. Щелкните правой кнопкой мыши Контроллеров доменаи thenclick Свойства.
  4. Откройте вкладку Групповая политикаПолитика контроллеров домена по умолчаниюи нажмите кнопкуИзменить.
  5. Щелкните Конфигурация компьютера, дважды щелкнитеПараметры Windows, дважды щелкните SecuritySettings, дважды щелкните значок Локальные политикии щелкните thendouble Политики аудита.
  6. В правой области щелкните правой кнопкой мыши Аудита DirectoryServices доступаи выберите команду Свойства.
  7. Нажмите кнопку Определить следующие параметры политики, щелкните andthen установите один или оба следующих флажка:
    • Успех: Установите этот флажок, чтобы производить аудит успешных попыток для категории событий.
    • Ошибка: Установите этот флажок, чтобы производить аудит неудачных попыток для категории событий.
  8. Щелкните правой кнопкой мыши любой другой категории событий будет toaudit и выберите команду Свойства.
  9. Нажмите кнопку ОК.
  10. Так как изменения, внесенные на компьютере auditpolicy параметр вступает в силу только в том случае, когда параметр политики распространяться orapplied к компьютеру, выполните одно из следующих действий для распространения initiatepolicy.
    • Тип gpupdate/target: Computer в командной строке и нажмите клавишу ВВОД.
    • Дождитесь распространения автоматические политики, происходит через равные промежутки времени, которые можно настроить. По умолчанию распространение политики происходит каждые пять минут.
  11. Откройте журнал безопасности для просмотра записанных событий.

    Примечание При наличии домена или администратора предприятия, youcan включить удаленно аудита для рабочих станций, рядовых серверов и domaincontrollers безопасности.
к началу статьи

Настройка аудита для объектов Active Directory определенных

После настройки параметра политики аудита можно настроить аудит для конкретных объектов, таких как пользователи, компьютеры, подразделения или группы, путем указания типов доступа и пользователей, которых требуется провести аудит доступа. Чтобы настроить аудит для конкретных объектов Active Directory:
  1. Нажмите кнопку Пуск, выберитепрограммы, Администрирование, щелкните andthen Active Directory-пользователи и компьютеры.
  2. Убедитесь в том, что isselected Дополнительные функции в меню Вид , убедившись, что команда hasa флажок рядом с ним.
  3. Щелкните правой кнопкой мыши объект Active Directory, будет toaudit и выберите команду Свойства.
  4. Перейдите на вкладку Безопасность и нажмите кнопкуДополнительно.
  5. Перейдите на вкладку Аудит и нажмите кнопкуДобавить.
  6. Выполните одно из следующих:
    • Введите имя пользователя или группы в поле Введите имена выбираемых объектов аудита доступа и нажмите кнопку ОК.
    • В списке имен дважды щелкните пользователя или группы, для которого нужно провести аудит доступа.
  7. Youwant для аудита, установите флажок Успехили Сбой флажок для действия и нажмите кнопку ОК.
  8. Нажмите кнопку ОКи затем нажмите кнопкуОК.
к началу статьи

Разрешение вопросов

Размер журнала безопасности ограничен. По этой причине корпорация Майкрософт рекомендует тщательно выбрать файлы и папки, которые требуется аудит. Также следует учитывайте объем дискового пространства, которое вы хотите отвести под хранение журнала безопасности. Максимальный размер задается в окне просмотра событий.

к началу статьи

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 814595 — последний просмотр: 03/15/2015 08:39:00 — редакция: 5.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86)

  • kbactivedirectory kbhowtomaster kbmt KB814595 KbMtru
Отзывы и предложения