配置对象级审计

自动配置

必须配置对象级别审计，以确保在发生任何与 Active Directory 对象相关的活动时都能记录事件。提供域管理员凭据后，Log360 Cloud 会自动配置所需的对象级别审计以进行 Active Directory 审计。

配置对象级别审计步骤如下：

• 登录到 Log360 Cloud Web 控制台。
• 转到 报告 → GPO 管理 → GPO 历史.
• 在 GPO 历史中，点击 需要配置对象级别审计和审计策略以查看相关报告 → 了解更多.
• 在 需要配置对象级别审计以查看相关报告 提示消息中，点击 配置.



• 在用户同意警告中，点击 确认 以配置对象级别审计。

你还可以通过以下步骤配置对象级别审计：

• 登录到 Log360 Cloud Web 控制台。
• 转到 域设置 并点击 对象级别审计：配置.



• 在用户同意警告中，点击 确认 以配置对象级别审计。

手动配置

必须配置对象级别审计，以确保当发生任何与 Active Directory 对象相关的活动时记录事件。

配置 OU、GPO、用户、组、计算机和联系人对象的审计

• 登录到任何安装了 Active Directory 用户和计算机 (ADUC)的计算机，使用 域管理员凭据.
• 打开 ADUC。
• 点击 视图 并确认 高级功能 已启用。这将显示 Active Directory 用户和计算机中选定对象的高级安全设置。
• 右键点击 域 并进入 属性 → 安全 → 高级 → 审计 → 添加.
• 在 审计条目 窗口，选择主体： 所有人 → 类型： 成功 并根据下表指示选择适当的权限。

审计条目编号	审计条目对应	访问	应用至
			Windows Server 2003	Windows Server 2008 及以上版本
1 & 2	OU	创建组织单位对象 删除组织单位对象	此对象及所有子对象	此对象及所有后代对象
		写入所有属性 删除 修改权限	组织单位对象	后代组织单位对象
3 & 4	GPO	创建 groupPolicyContainer 对象 删除 groupPolicyContainer 对象	此对象及所有子对象	此对象及所有后代对象
		写入所有属性 删除 修改权限	groupPolicyContainer 对象	后代 groupPolicyContainer 对象
5 & 6	用户	创建用户对象 删除用户对象 写入所有属性 删除 修改权限 所有扩展权限	此对象及所有子对象	此对象及所有后代对象
		写入所有属性 删除 修改权限 所有扩展权限	用户对象	后代用户对象
7 & 8	组	创建组对象 删除组对象	此对象及所有子对象	此对象及所有后代对象
		写入所有属性 删除 修改权限 所有扩展权限	组对象	后代组对象
9 & 10	计算机	创建计算机对象 删除计算机对象	此对象及所有子对象	此对象及所有后代对象
		写入所有属性 删除 修改权限 所有扩展权限	计算机对象	后代计算机对象
11 & 12	联系人	创建联系人对象 删除联系人对象	此对象及所有子对象	此对象及所有后代对象
		写入所有属性 删除 修改权限	联系人对象	后代计算机对象

图片显示：审计条目编号 1。

要审计容器对象：

• 登录到任何安装了 Active Directory 服务接口管理单元.
• 打开 ADSI Edit 控制台，右键单击 ADSI Edit 并选择 连接到.
• 在 连接设置 窗口，在 选择预定义命名上下文，选择 默认命名上下文.
• 导航到左侧面板，点击 默认命名上下文.
• 右键点击 域的可分辨名称，选择 属性 并进入 安全 → 高级 → 审计 → 添加.
• 在 审计条目 窗口，选择主体： 所有人 → 类型： 成功，并根据下表中的指示选择适当的权限。

审计条目编号	访问	应用至
		Windows Server 2003	Windows Server 2008 及以上版本
容器	写入所有属性 删除 修改权限	容器对象	后代容器对象

要配置密码设置对象的审计：

• 登录到任何安装了 Active Directory 服务接口管理单元.
• 打开 ADSI Edit 控制台，右键单击 ADSI Edit 并选择 连接到.
• 在 连接设置 窗口，在 选择预定义命名上下文，选择 默认命名上下文.
• 导航到左侧窗格，点击 默认命名上下文。转到 展开域 → 展开系统容器.
• 右键单击 密码设置容器 并进入 属性 → 安全 → 高级 → 审计 → 添加.
• 在 审计条目 窗口，选择主体： 所有人 → 类型： 成功 并根据下表指示选择适当的权限。

审计条目编号	审计条目对应	访问	应用至
			Windows Server 2003	Windows Server 2008 及以上版本
1&2	密码设置容器	创建 msDS-PasswordSettings 对象 删除 msDS-PasswordSetting 对象	不适用	此对象及所有后代对象
		写入所有属性 删除 修改权限	不适用	后代 msDS-PasswordSettings 对象

图片显示： 审计条目编号 1.

要配置配置对象的审计：

• 登录到任何安装了 Active Directory 服务接口管理单元.
• 打开 ADSI Edit 控制台.
• 右键点击 ADSI Edit 并选择 连接到.
• 在连接设置窗口中，在 选择预定义命名上下文，选择 配置.
• 导航到左侧面板，点击 配置，右键单击 配置命名上下文。
• 选择 属性，并转到 安全 → 高级 → 审计 → 添加.
• 在 审计条目窗口，选择一个主体： 所有人 → 类型： 成功，并根据下表中的指示选择适当的权限。

审计条目对应	访问	应用至
		Windows Server 2003	Windows Server 2008 及以上版本
配置	创建所有子对象 写入所有属性 删除所有子对象 删除 修改权限 所有扩展权限	此对象及所有子对象	此对象及所有

要配置架构对象的审计：

• 登录到任何安装了 Active Directory 服务接口管理单元.
• 打开 ADSI Edit 控制台.
• 右键点击 ADSI Edit，并选择 连接到.
• 在 连接设置 窗口，在 选择预定义命名上下文，选择 架构.
• 导航到左侧窗格，点击 架构.
• 右键点击 架构命名上下文，选择 属性 并进入 安全 → 高级 → 审计 → 添加.
• 在 审计条目 窗口，选择主体： 所有人 → 类型： 成功，并根据下表中的指示选择适当的权限。

审计条目对应	访问	应用至
		Windows Server 2003	Windows Server 2008 及以上版本
架构	创建所有子对象 写入所有属性 删除所有子对象 删除 修改权限 所有扩展权限	此对象及所有子对象	此对象及所有后代对象

要配置 DNS 对象的审计

• 登录到任何安装了 Active Directory 服务接口管理单元.
• 打开 ADSI Edit 控制台.
• 右键点击 ADSI Edit，并选择 连接到.
• 在 连接设置 窗口，在 选择或输入可分辨名称或命名上下文，根据您的域名和存储该区域的分区输入可分辨名称。
• 输入 DC=adap, DC=internal,DC=com 作为可分辨名称。（此分区通常默认加载在 Adsiedit 中）
• 输入 DC=DomainDNSZones,DC=adap,DC=internal,DC=com 作为可分辨名称。
• 输入 DC=ForestDNSZones,DC=adap,DC=internal,DC=com 作为可分辨名称。





• 导航到左侧窗格，点击 默认命名上下文.
• 右键点击 MicrosoftDNS，选择 属性 并进入 安全 → 高级 → 审计 → 添加.
• 在 审计条目 窗口，选择主体： 所有人，输入： 成功，并且 根据下表中的指示选择适当的权限。

审计条目编号	审计条目针对	访问	应用至
			Windows Server 2003	Windows Server 2008 及以上版本
1 & 2	DNS 区域	创建 DNS 区域对象 删除 DNS 区域对象 写入所有属性 删除 修改权限	此对象及所有子对象	此对象及所有后代对象
		写入所有属性 删除 修改权限	DNS 区域对象	后代 DNS 区域对象
3 & 4	DNS 节点	创建 DNS 节点对象 删除 DNS 节点对象	此对象及所有子对象	后代 DNS 区域对象
		写入所有属性 删除 修改权限	DNS 节点对象	后代 DNS 节点对象