AD审计手动配置对象级审核
手动配置对象级审核,以确保每当发生任何与 Active Directory 对象相关的活动时都会记录事件。
1. 为 OU、GPO、用户、组、计算机和联系人对象配置审核
- 使用域管理员凭据登录到具有 Active Directory 用户和计算机的任何计算机,→ Open ADUC。
单击“查看”并确保已启用“高级功能”。这将显示 Active Directory 用户和计算机中选定对象的高级安全设置。
- 右键单击“域→属性”→“安全性”→“高级→审核”→“添加”。
- 在“审核条目”窗口中,→选择主体:所有人→类型:成功→ 按照下表中的说明选择适当的权限。
注意:在选择适当的权限之前,使用“全部清除”可删除所有权限和属性。
| 审核条目编号 | 审核条目 | 访问 | 应用于 | |
|---|---|---|---|---|
| Windows 服务器 2003 | Windows Server 2008 及更高版本 | |||
| 1&2 | OU型 |
| 此对象和所有子对象 | 此对象和所有后代对象 |
| 组织单位对象 | 后代组织单位对象 | ||
| 3&4 | GPO的 |
| 此对象和所有子对象 | 此对象和所有后代对象 |
| groupPolicyContainer 对象 | 后代 groupPolicyContainer 对象 | ||
| 5&6 | 用户 |
| 此对象和所有子对象 | 此对象和所有后代对象 |
| 用户对象 | 后代 User 对象 | ||
| 7&8 | 群 |
| 此对象和所有子对象 | 此对象和所有后代对象 |
| 对对象进行分组 | 后代组对象 | ||
| 9&10 | 计算机 |
| 此对象和所有子对象 | 此对象和所有后代对象 |
| 计算机对象 | 后代 Computer 对象 | ||
| 11&12 | 联系 |
| 此对象和所有子对象 | 此对象和所有后代对象 |
| 接触对象 | 后代 Computer 对象 | ||
图像显示:审核条目编号 1。
注意:必须启用所有 12 个审核条目。
2. 审核容器对象
- 登录到具有 Active Directory 服务接口管理单元的任何计算机 → 打开 ADSI 编辑控制台→右键单击“ADSI 编辑→连接到”。
- 在“连接设置”窗口中→在“选择已知命名上下文”下→选择“默认命名上下文”。
- 导航到左侧面板 → 单击“默认命名上下文”→右键单击“域可分辨名称”→选择属性→“安全”→“高级→审核”→“添加”。
- 在“审核条目”窗口中,→选择主体:所有人→类型:成功→ 按照下表中的说明选择适当的权限。
注意:在选择适当的权限之前,使用“全部清除”可删除所有权限和属性。
| 审核条目 | 访问 | 应用于 | |
|---|---|---|---|
| Windows 服务器 2003 | Windows Server 2008 及更高版本 | ||
| 容器 |
| 容器对象 | 后代容器对象 |
3. 配置密码设置对象的审核
- 登录到具有 Active Directory 服务接口管理单元的任何计算机 → 打开 ADSI 编辑控制台→右键单击“ADSI 编辑→连接到”。
- 在“连接设置”窗口中→在“选择已知命名上下文”下→选择“默认命名上下文”。
- 导航到左侧面板 → 单击“默认命名上下文”→ 展开域→ 展开“系统”容器→右键单击“密码设置”容器→“属性”→“安全”→“高级→审核”→“添加”。
- 在“审核条目”窗口中,→选择主体:所有人→类型:成功→ 按照下表中的说明选择适当的权限。
注意:在选择适当的权限之前,使用“全部清除”可删除所有权限和属性。
| 审核条目编号 | 审核条目 | 访问 | 应用于 | |
|---|---|---|---|---|
| Windows 服务器 2003 | Windows Server 2008 及更高版本 | |||
| 1&2 | 密码设置容器 |
| 不適用 | 此对象和所有后代对象 |
| 不適用 | 后代 msDS-PasswordSettings 对象 | ||
图像显示:审核条目编号 1。
注意:必须同时启用两个审核条目。
4. 配置配置对象的审核
- 登录到具有 Active Directory 服务接口管理单元的任何计算机 → 打开 ADSI Edit 控制台→右键单击“ADSI Edit”→连接到。
- 在“连接设置”窗口中→在“选择已知命名上下文”下→选择“配置”。
- 导航到左侧面板 →单击“配置”→右键单击“配置命名上下文”→“选择属性”→“安全”→“高级→审核”→“添加”。
- 在“审核条目”窗口中,→选择主体:所有人→类型:成功→ 按照下表中的说明选择适当的权限。
注意:在选择适当的权限之前,使用“全部清除”可删除所有权限和属性。
| 审核条目 | 访问 | 应用于 | |
|---|---|---|---|
| Windows 服务器 2003 | Windows Server 2008 及更高版本 | ||
| 配置 |
| 此对象和所有子对象 | 此对象和所有对象 |
5. 为架构对象配置审核
- 登录到具有 Active Directory 服务接口管理单元的任何计算机 → 打开 ADSI 编辑控制台→右键单击“ADSI 编辑→连接到”。
- 在“连接设置”窗口中→在“选择已知命名上下文”下→选择“架构”
- 导航到左侧面板 →单击“架构”→右键单击“架构命名上下文”→“选择属性”→“安全”→“高级”→“审核”→“添加”。
- 在“审核条目”窗口中,→选择主体:Everyone → OK → 类型:Success → 选择适当的权限,如下表所示。
注意:在选择适当的权限之前,使用“全部清除”可删除所有权限和属性。
| 审核条目 | 访问 | 应用于 | |
|---|---|---|---|
| Windows 服务器 2003 | Windows Server 2008 及更高版本 | ||
| 图式 |
| 此对象和所有子对象 | 此对象和所有后代对象 |
6. 配置 DNS 对象的审核
- 登录到具有 Active Directory 服务接口管理单元的任何计算机 → 打开 ADSI 编辑控制台 →确定 →右键单击“ADSI 编辑→连接到”。
- 在“连接设置”窗口中,→“选择或键入可分辨名称”或“命名上下文”下→根据您的域名和存储区域的分区键入可分辨名称。
- 键入 DC=adap, DC=internal,DC=com 作为可分辨名称。(默认情况下,此分区通常加载到 Adsiedit 中)
- 键入 DC=DomainDNSZones,DC=adap,DC=internal,DC=com 作为可分辨名称。
- 键入 DC=ForestDNSZones,DC=adap,DC=internal,DC=com 作为可分辨名称。
- 导航到左侧面板→单击“默认命名上下文”→右键单击“MicrosoftDNS→选择”安全“→”高级→审核“→”添加“→属性。
- iv. 在“审核条目”窗口中,→选择主体→“所有人→确定”→类型:成功→ 按照下表中的说明选择适当的权限。
注意:在选择适当的权限之前,使用“全部清除”可删除所有权限和属性。
| 审核条目编号 | 审核条目 | 访问 | 应用于 | |
|---|---|---|---|---|
| Windows 服务器 2003 | Windows Server 2008 及更高版本 | |||
| 1&2 | DNS 区域 |
| 此对象和所有子对象 | 此对象和所有后代对象 |
| DNS 区域对象 | 后代 DNS 区域对象 | ||
| 3&4 | DNS 节点 |
| 此对象和所有子对象 | 后代 DNS 区域对象 |
| DNS 节点对象 | 后代 DNS 节点对象 | ||
Note:Repeat steps iii. and iv. for the remaining 2 default naming contexts.
