配置对象级审核 - 手动配置

必须配置对象级审核，以确保每当发生任何与 Active Directory 对象相关的活动时都记录事件。

为 OU、GPO、用户、组、计算机和联系人对象配置审核

• 使用域管理员凭据登录到任何拥有 Active Directory 用户和计算机的计算机 → 打开 ADUC。

点击“视图”，确保启用高级功能。这将显示所选对象在 Active Directory 用户和计算机中的高级安全设置。

• 右键单击域 → 属性 → 安全 → 高级 → 审计 → 添加。
• 在审计条目窗口 → 选择主体：每个人 → 类型：成功 → 选择适当的权限，如下表所示。

注意：使用“全部清除”来移除所有权限和属性，然后再选择适当的权限。

审计条目编号	审计条目对象	访问	适用于
			Windows Server 2003	Windows Server 2008 及以上
1&2	OU	创建组织单位对象 删除组织单位对象	该对象及所有子对象	该对象及所有后代对象
		写入所有属性 删除 修改权限	组织单位对象	后代组织单位对象
3&4	GPO	创建 groupPolicyContainer 对象 删除 groupPolicyContainer 对象	该对象及所有子对象	该对象及所有后代对象
		写入所有属性 删除 修改权限	groupPolicyContainer 对象	后代 groupPolicyContainer 对象
5&6	用户	创建用户对象 删除用户对象	该对象及所有子对象	该对象及所有后代对象
		写入所有属性 删除 修改权限 所有扩展权限	用户对象	后代用户对象
7&8	组	创建组对象 删除组对象	该对象及所有子对象	该对象及所有后代对象
		写入所有属性 删除 修改权限 所有扩展权限	组对象	后代组对象
9& 10	计算机	创建计算机对象 删除计算机对象	此对象及所有子对象	此对象及所有后代对象
		写入所有属性 删除 修改权限 所有扩展权限	计算机对象	后代计算机对象
11&12	联系人	创建联系人对象 删除联系人对象	此对象及所有子对象	此对象及所有后代对象
		写入所有属性 删除 修改权限	联系人对象	后代计算机对象

图像显示：审计项编号 1。

注意：所有 12 个审计项必须启用。

审计容器对象

• 登录任何具有活动目录服务接口管理单元的计算机 → 打开 ADSI 编辑控制台 → 右键单击 ADSI 编辑 → 连接到。
• 在连接设置窗口 → 在选择一个众所周知的命名上下文下 → 选择“默认命名上下文”。
• 导航到左侧面板 → 单击默认命名上下文 → 右键单击域的区分名称 → 选择属性 → 安全 → 高级 → 审计 → 添加。
• 在审计项窗口 → 选择主体：每个人 → 类型：成功 → 选择适当的权限，如下表所示。

注意：在选择适当的权限之前，请使用清除所有以删除所有权限和属性。

审计项	访问	应用于
		Windows Server 2003	Windows Server 2008 及更高版本
容器	写入所有属性 删除 修改权限	容器对象	后代容器对象

为密码设置对象配置审计

• 登录到任何具有 Active Directory Service Interfaces 插件的计算机 → 打开 ADSI Edit 控制台 → 右键单击 ADSI Edit → 连接。
• 在连接设置窗口 → 在选择一个著名命名上下文下 → 选择“默认命名上下文”。
• 导航到左侧面板 → 单击默认命名上下文 → 展开域 → 展开系统容器 → 右键单击密码设置容器 → 属性 → 安全 → 高级 → 审核 → 添加。
• 在审核条目窗口 → 选择主体：所有人 → 类型：成功 → 根据下表选择适当的权限。

注意：使用“全部清除”以删除所有权限和属性，然后再选择适当的权限。

审核条目编号	审核条目用途	访问	应用于
			Windows Server 2003	Windows Server 2008 及以上
1&2	密码设置容器	创建 msDS-PasswordSettings 对象 删除 msDS-PasswordSetting 对象	不适用	此对象及所有后代对象
		写入所有属性 删除 修改权限	不适用	后代 msDS-PasswordSettings 对象

图像显示：审核条目编号 1。

注意：两个审核条目必须启用。

为配置对象配置审核

• 登录到任何具有 Active Directory Service Interfaces 插件的计算机 → 打开 ADSI Edit 控制台 → 右键单击 ADSI Edit → 连接。
• 在连接设置窗口 → 在选择一个著名命名上下文下 → 选择配置。
• 导航到左侧面板 → 单击配置 → 右键单击配置命名上下文 → 选择属性 → 安全 → 高级 → 审核 → 添加。
• 在审核条目窗口 → 选择主体：所有人 → 类型：成功 → 根据下表选择适当的权限。

注意：使用“全部清除”以删除所有权限和属性，然后再选择适当的权限。

审核条目的用途	访问	应用于
		Windows Server 2003	Windows Server 2008 及以上
配置	创建所有子对象 写入所有属性 删除所有子对象 删除 修改权限 所有扩展权限	此对象及所有子对象	此对象及所有

为架构对象配置审计

• 登录到任何拥有 Active Directory 服务接口管理单元的计算机 → 打开 ADSI Edit 控制台 → 右键单击 ADSI Edit → 连接到。
• 在连接设置窗口 → 在选择一个众所周知的命名上下文下 → 选择架构
• 导航到左侧面板 → 单击架构 → 右键单击架构命名上下文 → 选择属性 → 安全 → 高级 → 审计 → 添加。
• 在审计条目窗口 → 选择主体：所有人 → 确定 → 类型：成功 → 根据下表选择适当的权限。

注意：使用清除所有来删除所有权限和属性，然后再选择适当的权限。

审计条目	访问	应用于
		Windows Server 2003	Windows Server 2008 及更高版本
架构	创建所有子对象 写入所有属性 删除所有子对象 删除 修改权限 所有扩展权限	此对象及所有子对象	此对象及所有后代对象

为 DNS 对象配置审计

1. 登录到任何拥有 Active Directory 服务接口管理单元的计算机 → 打开 ADSI Edit 控制台 → 确定 → 右键单击 ADSI Edit → 连接到。
2. 在连接设置窗口 → 在选择或输入一个区分名或命名上下文下 → 输入区分名，根据您的域名和存储区域的分区。
   • 输入 DC=adap, DC=internal,DC=com 作为区分名。 （此分区通常在 Adsiedit 中默认加载）
   • 输入 DC=DomainDNSZones,DC=adap,DC=internal,DC=com 作为区分名。
   • 输入 DC=ForestDNSZones,DC=adap,DC=internal,DC=com 作为区分名。

   

   

3. 导航到左侧面板 → 单击默认命名上下文 → 右键单击 MicrosoftDNS → 选择属性 → 安全 → 高级 → 审计 → 添加。
4. iv. 在审计条目窗口中 → 选择主体 → 所有人 → 确定 → 类型：成功 → 根据下表选择适当的权限。



注意：在选择适当的权限之前，请使用清除所有以移除所有权限和属性。

审计条目编号	审计条目针对	访问	应用于
			Windows Server 2003	Windows Server 2008及以上
1&2	DNS区域	创建DNS区域对象 删除DNS区域对象	该对象及所有子对象	该对象及所有后代对象
		写入所有属性 删除 修改权限	DNS区域对象	后代DNS区域对象
3&4	DNS节点	创建DNS节点对象 删除DNS节点对象	该对象及所有子对象	后代DNS区域对象
		写入所有属性 删除 修改权限	DNS节点对象	后代DNS节点对象

注意：对其余2个默认命名上下文重复步骤iii和iv。