大幅优惠,更好的投资回报率! ManageEngine 产品的独家折扣!* 提升您的业务 *适用条款与条件
  • 主页
  • 数据源配置
  • AD 活动目录
  • 配置对象级审核
  • 手动配置
点击这里收缩
点击这里展开 点击这里展开

配置对象级审核 - 手动配置

必须配置对象级审核,以确保每当发生任何与 Active Directory 对象相关的活动时都记录事件。

为 OU、GPO、用户、组、计算机和联系人对象配置审核

  • 使用域管理员凭据登录到任何拥有 Active Directory 用户和计算机的计算机 → 打开 ADUC。
  • 点击“视图”,确保启用高级功能。这将显示所选对象在 Active Directory 用户和计算机中的高级安全设置。

  • 右键单击域 → 属性 → 安全 → 高级 → 审计 → 添加。
  • 在审计条目窗口 → 选择主体:每个人 → 类型:成功 → 选择适当的权限,如下表所示。
  • 注意:使用“全部清除”来移除所有权限和属性,然后再选择适当的权限。

审计条目编号 审计条目对象 访问 适用于
Windows Server 2003 Windows Server 2008 及以上
1&2 OU
  • 创建组织单位对象
  • 删除组织单位对象
该对象及所有子对象 该对象及所有后代对象
  • 写入所有属性
  • 删除
  • 修改权限
组织单位对象 后代组织单位对象
3&4 GPO
  • 创建 groupPolicyContainer 对象
  • 删除 groupPolicyContainer 对象
该对象及所有子对象 该对象及所有后代对象
  • 写入所有属性
  • 删除
  • 修改权限
groupPolicyContainer 对象 后代 groupPolicyContainer 对象
5&6 用户
  • 创建用户对象
  • 删除用户对象
该对象及所有子对象 该对象及所有后代对象
  • 写入所有属性
  • 删除
  • 修改权限
  • 所有扩展权限
用户对象 后代用户对象
7&8
  • 创建组对象
  • 删除组对象
该对象及所有子对象 该对象及所有后代对象
  • 写入所有属性
  • 删除
  • 修改权限
  • 所有扩展权限
组对象 后代组对象
9& 10 计算机
  • 创建计算机对象
  • 删除计算机对象
此对象及所有子对象 此对象及所有后代对象
  • 写入所有属性
  • 删除
  • 修改权限
  • 所有扩展权限
计算机对象 后代计算机对象
11&12 联系人
  • 创建联系人对象
  • 删除联系人对象
此对象及所有子对象 此对象及所有后代对象
  • 写入所有属性
  • 删除
  • 修改权限
联系人对象 后代计算机对象

active-directory-audit-configuring-auditing-for-ou-gpo-usergroup-computer-contact-objects

图像显示:审计项编号 1。

注意:所有 12 个审计项必须启用。

审计容器对象

  • 登录任何具有活动目录服务接口管理单元的计算机 → 打开 ADSI 编辑控制台 → 右键单击 ADSI 编辑 → 连接到。
  • 在连接设置窗口 → 在选择一个众所周知的命名上下文下 → 选择“默认命名上下文”。
  • 导航到左侧面板 → 单击默认命名上下文 → 右键单击域的区分名称 → 选择属性 → 安全 → 高级 → 审计 → 添加。
  • 在审计项窗口 → 选择主体:每个人 → 类型:成功 → 选择适当的权限,如下表所示。
  • 注意:在选择适当的权限之前,请使用清除所有以删除所有权限和属性。

    审计项 访问 应用于
    Windows Server 2003 Windows Server 2008 及更高版本
    容器
    • 写入所有属性
    • 删除
    • 修改权限
    容器对象 后代容器对象

    active-directory-audit-to-audit-container-objects

为密码设置对象配置审计

  • 登录到任何具有 Active Directory Service Interfaces 插件的计算机 → 打开 ADSI Edit 控制台 → 右键单击 ADSI Edit → 连接。
  • 在连接设置窗口 → 在选择一个著名命名上下文下 → 选择“默认命名上下文”。
  • 导航到左侧面板 → 单击默认命名上下文 → 展开域 → 展开系统容器 → 右键单击密码设置容器 → 属性 → 安全 → 高级 → 审核 → 添加。
  • 在审核条目窗口 → 选择主体:所有人 → 类型:成功 → 根据下表选择适当的权限。
  • 注意:使用“全部清除”以删除所有权限和属性,然后再选择适当的权限。

    审核条目编号 审核条目用途 访问 应用于
    Windows Server 2003 Windows Server 2008 及以上
    1&2 密码设置容器
    • 创建 msDS-PasswordSettings 对象
    • 删除 msDS-PasswordSetting 对象
    不适用 此对象及所有后代对象
    • 写入所有属性
    • 删除
    • 修改权限
    不适用 后代 msDS-PasswordSettings 对象

active-directory-audit-configuring-auditing-for-password-setting-objects

图像显示:审核条目编号 1。

注意:两个审核条目必须启用。

为配置对象配置审核

  • 登录到任何具有 Active Directory Service Interfaces 插件的计算机 → 打开 ADSI Edit 控制台 → 右键单击 ADSI Edit → 连接。
  • 在连接设置窗口 → 在选择一个著名命名上下文下 → 选择配置。
  • 导航到左侧面板 → 单击配置 → 右键单击配置命名上下文 → 选择属性 → 安全 → 高级 → 审核 → 添加。
  • 在审核条目窗口 → 选择主体:所有人 → 类型:成功 → 根据下表选择适当的权限。
  • 注意:使用“全部清除”以删除所有权限和属性,然后再选择适当的权限。

    审核条目的用途 访问 应用于
    Windows Server 2003 Windows Server 2008 及以上
    配置
    • 创建所有子对象
    • 写入所有属性
    • 删除所有子对象
    • 删除
    • 修改权限
    • 所有扩展权限
    此对象及所有子对象 此对象及所有

    active-directory-audit-configuring-auditing-for-configuration-objects

为架构对象配置审计

  • 登录到任何拥有 Active Directory 服务接口管理单元的计算机 → 打开 ADSI Edit 控制台 → 右键单击 ADSI Edit → 连接到。
  • 在连接设置窗口 → 在选择一个众所周知的命名上下文下 → 选择架构
  • 导航到左侧面板 → 单击架构 → 右键单击架构命名上下文 → 选择属性 → 安全 → 高级 → 审计 → 添加。
  • 在审计条目窗口 → 选择主体:所有人 → 确定 → 类型:成功 → 根据下表选择适当的权限。
  • 注意:使用清除所有来删除所有权限和属性,然后再选择适当的权限。

审计条目 访问 应用于
Windows Server 2003 Windows Server 2008 及更高版本
架构
  • 创建所有子对象
  • 写入所有属性
  • 删除所有子对象
  • 删除
  • 修改权限
  • 所有扩展权限
此对象及所有子对象 此对象及所有后代对象

为 DNS 对象配置审计

  1. 登录到任何拥有 Active Directory 服务接口管理单元的计算机 → 打开 ADSI Edit 控制台 → 确定 → 右键单击 ADSI Edit → 连接到。
  2. 在连接设置窗口 → 在选择或输入一个区分名或命名上下文下 → 输入区分名,根据您的域名和存储区域的分区。
    • 输入 DC=adap, DC=internal,DC=com 作为区分名。 (此分区通常在 Adsiedit 中默认加载)
    • 输入 DC=DomainDNSZones,DC=adap,DC=internal,DC=com 作为区分名。
    • 输入 DC=ForestDNSZones,DC=adap,DC=internal,DC=com 作为区分名。

    active-directory-audit-configuring-auditing-for-dns-objects

    dns-domain-zone

  3. 导航到左侧面板 → 单击默认命名上下文 → 右键单击 MicrosoftDNS → 选择属性 → 安全 → 高级 → 审计 → 添加。
  4. iv. 在审计条目窗口中 → 选择主体 → 所有人 → 确定 → 类型:成功 → 根据下表选择适当的权限。
  5. dns-auditing-entry

    注意:在选择适当的权限之前,请使用清除所有以移除所有权限和属性。

审计条目编号 审计条目针对 访问 应用于
Windows Server 2003 Windows Server 2008及以上
1&2 DNS区域
  • 创建DNS区域对象
  • 删除DNS区域对象
该对象及所有子对象 该对象及所有后代对象
  • 写入所有属性
  • 删除
  • 修改权限
DNS区域对象 后代DNS区域对象
3&4 DNS节点
  • 创建DNS节点对象
  • 删除DNS节点对象
该对象及所有子对象 后代DNS区域对象
  • 写入所有属性
  • 删除
  • 修改权限
DNS节点对象 后代DNS节点对象

注意:对其余2个默认命名上下文重复步骤iii和iv。

dns-forest-zone

获取下载链接