用于 AD、Windows 服务器和工作站审计

概述

ADAudit Plus 在提供域管理员凭据后立即开始审计活动。如果不想提供域管理员凭据，请按照本指南中的步骤设置服务帐户，使其仅具有审计环境所需的最低权限。

注意： 如果您想在 ADAudit Plus 中配置多个域，建议为每个单独的域创建单独的服务帐户。

新用户、组和 GPO 创建

创建新用户

• 使用域管理员权限登录到您的域控制器 → 打开 Active Directory 用户和计算机 → 右键单击您的域 → 新建 → 用户 → 将用户命名为 "ADAudit Plus"。

创建新组

• 使用域管理员权限登录到您的域控制器 → 打开 Active Directory 用户和计算机 → 右键单击您的域 → 新建 → 组 → 将组命名为 "ADAudit Plus Permission Group"。
• 将所有受审计的计算机添加为 "ADAudit Plus Permission Group" 的成员：右键单击 "ADAudit Plus Permission Group" → 属性 → 成员 → 添加所有您希望审计的域控制器、Windows 服务器和工作站。

创建新的域级 GPO 并将其链接到所有受审计计算机

由于在单台计算机上配置权限过程繁琐，因此创建了域级 GPO 并应用于所有监控计算机。

• 使用域管理员权限登录到您的域控制器。
• 创建新的域级 GPO：

打开组策略管理控制台 → 右键单击您的域 → 在此域创建 GPO 并链接 → 将 GPO 命名为"ADAudit Plus Permission GPO"

• 移除对经过身份验证用户组的“应用组策略”权限：

点击 "ADAudit Plus Permission GPO" → 转到右侧面板，点击“委派”选项卡 → 高级 → 点击经过身份验证用户 → 移除“应用组策略”权限。

• 将 "ADAudit Plus Permission Group" 添加到 "ADAudit Plus Permission GPO" 的安全筛选设置中：

打开组策略管理控制台 → 域 → 选择 "ADAudit Plus Permission GPO" → 转到右侧面板，点击“委派”选项卡 → 高级 → 添加 "ADAudit Plus Permission Group" → 勾选“应用组策略”。

事件日志收集所需的权限/权限

1. 授予用户“管理审核和安全日志”权限

“管理审核和安全日志”权限允许用户定义对象级审核。

• 使用域管理员权限登录到您的域控制器→ 打开组策略管理控制台 → 右键单击 "ADAudit Plus Permission GPO" → 编辑。
• 在组策略管理编辑器中 → 计算机配置 → 策略 → Windows 设置 → 安全设置 → 本地策略 → 用户权限分配。
• 转到右侧面板，右键单击“管理审核和安全日志” → 属性 →添加 "ADAudit Plus" 用户。

2. 使用户成为事件日志读取者组成员

事件日志读取者组的成员可以读取所有受审计计算机的事件日志。

• 对域控制器：

使用域管理员权限登录到您的域控制器 → 打开 Active Directory 用户和计算机 → 内建容器 → 转到右侧面板，右键单击事件日志读取者 → 属性 → 成员 →添加 "ADAudit Plus" 用户。



• 对其他计算机（Windows 服务器和工作站）：

a.使用域管理员权限登录到您的域控制器→ 打开组策略管理控制台 → 右键单击 "ADAudit Plus Permission GPO" → 编辑。

b. 在组策略管理编辑器中 → 计算机配置 → 首选项 → 控制面板设置 → 右键单击本地用户和组 → 新建 → 本地组 → 选择事件日志读取者组作为组名 → 添加 "ADAudit Plus" 用户。

• 使用域管理员权限登录到您的域控制器 → 打开组策略管理控制台 → 右键单击 "ADAudit Plus Permission GPO" → 编辑。
• 在组策略管理编辑器中 → 计算机配置 → 策略 → Windows 设置 → 安全设置 → 右键单击注册表 → 添加项。
• 在选择注册表项窗口，导航至 MACHINE → SYSTEM → CurrentControlSet → Services → EventLog → Security → 点击确定 → 授予 读取 权限给 "ADAudit Plus" 用户 → 点击应用。
• 在添加对象窗口，选择 配置此项后 → 用可继承权限替换所有子项上的现有权限 → 点击 确定.

3. 授予事件日志读取者组对特定事件日志通道的直接访问权限

按照以下步骤，使用 wevtutil 命令行工具授予事件日志读取者组对安全日志的直接读取访问权限。

• 登录目标服务器。以管理员身份打开 命令提示符。 运行以下命令以检索安全日志当前的
• channelAccess 值： wevtutil gl "security" ：对其他日志同样适用，只需相应替换日志名称即可。

  将

  注意channelAccess

• 值复制到剪贴板以便后续修改。 编辑您复制的 值，在末尾添加以下条目以授予事件日志读取者组读取访问权限：



• (A;;0x1;;;S-1-5-32-573) 编辑您复制的 其中，A;;0x1;;;表示读取访问权限，S-1-5-32-573 是事件日志读取者组的 SID。

  然后使用以下命令应用更新的权限：

  wevtutil sl "security" /ca:

• <粘贴更新后的 channelAccess 值>

  以我们的示例为例，命令为：wevtutil sl "security" /ca:O:BAG:SYD:(A;;0xf0005;;;SY)

  (A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)

  通过执行以下命令验证更新，并确保输出包含事件日志读取者组的 SID (A;;0x1;;;S-1-5-32-573)。在安装了 ADAudit Plus 的机器上，打开



• 事件查看器

  将

• 并验证安全日志现已可访问。 自动审计策略和对象级审核配置所需权限/权限 域控制器审计配置所需权限/权限

授予服务帐户以下权限/权限，允许 ADAudit Plus 自动配置环境中所需的审计策略和对象级审核设置。ADAudit Plus 通过 GPO 将必需的设置推送到包含所有被监控计算机的组。

→ 打开组策略管理控制台 → 点击默认域控制器策略 → 转到右侧面板，点击“委派”选项卡 →

添加 ADAudit Plus 用户

• 使用域管理员权限登录到您的域控制器 → 授予编辑设置权限。 成员服务器、工作站及文件服务器审计配置所需权限/权限 使用户成为组策略创建者所有者组的成员

  

→ 打开 Active Directory 用户和计算机 → 点击用户 → 转到右侧面板，右键单击组策略创建者所有者组 →

将 "ADAudit Plus" 用户添加为成员。

• 使用域管理员权限登录到您的域控制器 授予用户组管理权限 → 打开 Active Directory 用户和计算机。

  

点击“视图”，确保启用“高级功能”。此操作将显示 Active Directory 用户和计算机中选定对象的高级安全设置。

• 使用域管理员权限登录到您的域控制器 右键单击用户 → 属性 → 安全 → 高级 → 权限 → 添加 → 在“用户的权限条目”窗口中，

  选择主体：ADAudit Plus 用户 → 类型：允许 → 适用于：此对象及所有子孙对象 → 选择权限：创建组对象和删除组对象

• 使用“全部清除”删除所有权限与属性，然后选择上述权限。 在 Active Directory 用户和计算机控制台中 → 右键单击用户 → 属性 → 安全 → 高级 → 权限 → 添加 → 在“用户的权限条目”窗口中 →.

  注意： 选择主体：ADAudit Plus 用户 → 类型：允许 → 适用于：子代组对象 → 选择属性：写入成员

  

• 使用“全部清除”删除所有权限与属性，然后选择上述属性。 找不到您要找的内容？.

注意： 访问我们的社区