Granska Active Directory-objekt i Windows Server 2003

  • Artikel

Den här stegvisa artikeln beskriver hur du använder Windows Server 2003-granskning för att spåra användaraktiviteter och systemomfattande händelser i Active Directory.

Gäller för: Windows Server 2003
Ursprungligt KB-nummer: 814595

Sammanfattning

Du kan använda Windows Server 2003-granskning för att spåra både användaraktiviteter och Windows Server 2003-aktiviteter som heter händelser på en dator. När du använder granskning kan du ange vilka händelser som skrivs till säkerhetsloggen. Säkerhetsloggen kan till exempel upprätthålla en post med både giltiga och ogiltiga inloggningsförsök och händelser som rör skapande, öppning eller borttagning av filer eller andra objekt. En granskningspost i säkerhetsloggen innehåller följande information:

  • Åtgärden som har utförts.
  • Användaren som utförde åtgärden.
  • Händelsens framgång eller misslyckande och den tid då händelsen inträffade.

En granskningsprincipinställning definierar de händelsekategorier som Windows Server 2003 loggar i säkerhetsloggen på varje dator. Säkerhetsloggen gör det möjligt för dig att spåra de händelser som du anger.

När du granskar Active Directory-händelser skriver Windows Server 2003 en händelse till säkerhetsloggen på domänkontrollanten. En användare försöker till exempel logga in på domänen med hjälp av ett domänanvändarkonto. Om inloggningsförsöket misslyckas registreras händelsen på domänkontrollanten, inte på den dator där inloggningsförsöket gjordes. Det här beteendet beror på att det är domänkontrollanten som försökte autentisera inloggningsförsöket men inte kunde göra det.

Använd Loggboken för att visa händelser som Windows Server 2003 loggar i säkerhetsloggen. Du kan också arkivera loggfiler för att spåra trender över tid. Du vill till exempel fastställa användningen av skrivare eller filer eller verifiera användningen av obehöriga resurser.

Så här aktiverar du granskning av Active Directory-objekt:

  • Konfigurera en granskningsprincipinställning för en domänkontrollant. När du konfigurerar en principinställning för granskning kan du granska objekt, men du kan inte ange det objekt som du vill granska.
  • Konfigurera granskning för specifika Active Directory-objekt. När du har angett vilka händelser som ska granskas för filer, mappar, skrivare och Active Directory-objekt spårar och loggar Windows Server 2003 dessa händelser.

Konfigurera en principinställning för granskning för en domänkontrollant

Som standard är granskning inaktiverat. För domänkontrollanter konfigureras en granskningsprincipinställning för alla domänkontrollanter i domänen. Om du vill granska händelser som inträffar på domänkontrollanter konfigurerar du en granskningsprincipinställning som gäller för alla domänkontrollanter i ett icke-lokalt grupprincip objekt (GPO) för domänen. Du kan komma åt den här principinställningen via organisationsenheten Domänkontrollanter. Om du vill granska användaråtkomst till Active Directory-objekt konfigurerar du händelsekategorin Granskningskatalogtjänståtkomst i inställningen granskningsprincip.

Obs!

  • Du måste bevilja användaren hantera gransknings- och säkerhetslogg till den dator där du antingen vill konfigurera en principinställning för granskning eller granska en granskningslogg. Som standard beviljar Windows Server 2003 dessa rättigheter till gruppen Administratörer.
  • De filer och mappar som du vill granska måste finnas på NTFS-volymer (Microsoft Windows NT-filsystem).

Så här konfigurerar du en granskningsprincipinställning för en domänkontrollant:

  1. Välj Starta>program>Administrationsverktyg och välj sedan Active Directory - användare och datorer.

  2. På menyn Visa väljer du Avancerade funktioner.

  3. Högerklicka på Domänkontrollanter och välj sedan Egenskaper.

  4. Välj fliken grupprincip, välj Standardprincip för domänkontrollant och välj sedan Redigera.

  5. Välj Datorkonfiguration, dubbelklicka på Windows-inställningar, dubbelklicka på Säkerhetsinställningar, dubbelklicka på Lokala principer och dubbelklicka sedan på Granskningsprincip.

  6. Högerklicka på Granska åtkomst till katalogtjänster i den högra rutan och välj sedan Egenskaper.

  7. Välj Definiera dessa principinställningar och markera sedan en eller båda av följande kryssrutor:

    • Lyckades: Markera den här kryssrutan om du vill granska lyckade försök för händelsekategorin.
    • Fel: Markera den här kryssrutan om du vill granska misslyckade försök för händelsekategorin.

  8. Högerklicka på andra händelsekategorier som du vill granska och välj sedan Egenskaper.

  9. Välj OK.

  10. De ändringar som du gör i datorns granskningsprincipinställning börjar gälla endast när principinställningen sprids eller tillämpas på datorn. Slutför något av följande steg för att initiera principspridning:

    • Skriv gpupdate /Target:computer i kommandotolken och tryck sedan på RETUR.
    • Vänta på automatisk principspridning som sker med jämna mellanrum som du kan konfigurera. Som standard sker principspridning var femte minut.

  11. Öppna säkerhetsloggen för att visa loggade händelser.

    Obs!

    Om du antingen är en domän eller företagsadministratör kan du aktivera säkerhetsgranskning för arbetsstationer, medlemsservrar och domänkontrollanter via fjärranslutning.

Konfigurera granskning för specifika Active Directory-objekt

När du har konfigurerat en principinställning för granskning kan du konfigurera granskning för specifika objekt, till exempel användare, datorer, organisationsenheter eller grupper, genom att ange både typer av åtkomst och de användare vars åtkomst du vill granska. Så här konfigurerar du granskning för specifika Active Directory-objekt:

  1. Välj Starta>program>Administrationsverktyg och välj sedan Active Directory - användare och datorer.

  2. Se till att du väljer Avancerade funktioner på menyn Visa .

  3. Högerklicka på det Active Directory-objekt som du vill granska och välj sedan Egenskaper.

  4. Välj fliken Säkerhet och välj sedan Avancerat.

  5. Välj fliken Granskning och välj sedan Lägg till.

  6. Utför någon av följande åtgärder:

    • Ange namnet på antingen användaren eller gruppen vars åtkomst du vill granska i rutan Ange det objektnamn som ska väljas och välj sedan OK.
    • Dubbelklicka på användaren eller gruppen vars åtkomst du vill granska i listan med namn.

  7. Markera kryssrutan Lyckades eller Misslyckades för de åtgärder som du vill granska och välj sedan OK.

  8. Välj OK och sedan OK.

Felsökning

Säkerhetsloggens storlek är begränsad. På grund av den här begränsningen rekommenderar Microsoft att du noggrant väljer de filer och mappar som du vill granska. Tänk också på mängden diskutrymme som du vill ägna åt säkerhetsloggen. Den maximala storleken definieras i Loggboken.