配置对象级别审计 - 手动配置

必须配置对象级审计，以确保在任何与 Active Directory 对象相关的活动发生时都能记录事件。

为 OU、GPO、用户、组、计算机和联系人对象配置审计

• 使用域管理员凭据登录任意安装有 Active Directory 用户和计算机的计算机 → 打开 ADUC。

点击“查看”并确保启用了“高级功能”。这将显示 Active Directory 用户和计算机中所选对象的高级安全设置。

• 右键点击域 → 属性 → 安全 → 高级 → 审计 → 添加。
• 在“审计条目”窗口 → 选择主体：Everyone → 类型：成功 → 选择适当的权限，如下表所示。

注意：使用“全部清除”以移除所有权限和属性，然后再选择适当权限。

审计条目编号	审计条目对象	访问	应用于
			Windows Server 2003	Windows Server 2008 及更高版本
1&2	OU	创建组织单元对象 删除组织单元对象	此对象及所有子对象	此对象及所有后代对象
		写入所有属性 删除 修改权限	组织单元对象	后代组织单元对象
3&4	GPO	创建 groupPolicyContainer 对象 删除 groupPolicyContainer 对象	此对象及所有子对象	此对象及所有后代对象
		写入所有属性 删除 修改权限	groupPolicyContainer 对象	后代 groupPolicyContainer 对象
5&6	用户	创建用户对象 删除用户对象	此对象及所有子对象	此对象及所有后代对象
		写入所有属性 删除 修改权限 所有扩展权限	用户对象	后代用户对象
7&8	组	创建组对象 删除组对象	此对象及所有子对象	此对象及所有后代对象
		写入所有属性 删除 修改权限 所有扩展权限	组对象	后代组对象
9&10	计算机	创建计算机对象 删除计算机对象	此对象及所有子对象	此对象及所有后代对象
		写入所有属性 删除 修改权限 所有扩展权限	计算机对象	后代计算机对象
11&12	联系人	创建联系人对象 删除联系人对象	此对象及所有子对象	此对象及所有后代对象
		写入所有属性 删除 修改权限	联系人对象	后代联系人对象

图示：审计条目编号 1。

注意：所有 12 个审计条目必须启用。

审计容器对象

• 使用安装有 Active Directory 服务接口插件的任意计算机登录 → 打开 ADSI Edit 控制台 → 右键点击 ADSI Edit → 连接到。
• 在“连接设置”窗口 → 在“选择一个知名命名上下文”下选择“默认命名上下文”。
• 在左侧面板导航 → 点击“默认命名上下文” → 右键点击域的区别名 → 选择属性 → 安全 → 高级 → 审计 → 添加。
• 在“审计条目”窗口 → 选择主体：Everyone → 类型：成功 → 选择适当的权限，如下表所示。

注意：使用“全部清除”以移除所有权限和属性，然后再选择适当权限。

审计条目	访问	应用于
		Windows Server 2003	Windows Server 2008 及更高版本
容器	写入所有属性 删除 修改权限	容器对象	后代容器对象

配置密码设置对象的审计

• 使用安装有 Active Directory 服务接口插件的任意计算机登录 → 打开 ADSI Edit 控制台 → 右键点击 ADSI Edit → 连接到。
• 在“连接设置”窗口 → 在“选择一个知名命名上下文”下选择“默认命名上下文”。
• 在左侧面板导航 → 点击“默认命名上下文” → 展开域 → 展开系统容器 → 右键点击密码设置容器 → 属性 → 安全 → 高级 → 审计 → 添加。
• 在“审计条目”窗口 → 选择主体：Everyone → 类型：成功 → 选择适当的权限，如下表所示。

注意：使用“全部清除”以移除所有权限和属性，然后再选择适当权限。

审计条目编号	审计条目对象	访问	应用于
			Windows Server 2003	Windows Server 2008 及更高版本
1&2	密码设置容器	创建 msDS-PasswordSettings 对象 删除 msDS-PasswordSettings 对象	不适用	此对象及所有后代对象
		写入所有属性 删除 修改权限	不适用	后代 msDS-PasswordSettings 对象

图示：审计条目编号 1。

注意：两个审计条目都必须启用。

配置配置对象的审计

• 使用安装有 Active Directory 服务接口插件的任意计算机登录 → 打开 ADSI Edit 控制台 → 右键点击 ADSI Edit → 连接到。
• 在“连接设置”窗口 → 在“选择一个知名命名上下文”下选择“Configuration”。
• 在左侧面板导航 → 点击“Configuration” → 右键点击配置命名上下文 → 选择属性 → 安全 → 高级 → 审计 → 添加。
• 在“审计条目”窗口 → 选择主体：Everyone → 类型：成功 → 选择适当的权限，如下表所示。

注意：使用“全部清除”以移除所有权限和属性，然后再选择适当权限。

审计条目对象	访问	应用于
		Windows Server 2003	Windows Server 2008 及更高版本
配置	创建所有子对象 写入所有属性 删除所有子对象 删除 修改权限 所有扩展权限	此对象及所有子对象	此对象及所有

配置架构对象的审计

• 使用安装有 Active Directory 服务接口插件的任意计算机登录 → 打开 ADSI Edit 控制台 → 右键点击 ADSI Edit → 连接到。
• 在“连接设置”窗口 → 在“选择一个知名命名上下文”下选择“Schema”。
• 在左侧面板导航 → 点击“Schema” → 右键点击架构命名上下文 → 选择属性 → 安全 → 高级 → 审计 → 添加。
• 在“审计条目”窗口 → 选择主体：Everyone → 确定 → 类型：成功 → 选择适当权限，如下表所示。

注意：使用“全部清除”以移除所有权限和属性，然后再选择适当权限。

审计条目对象	访问	应用于
		Windows Server 2003	Windows Server 2008 及更高版本
架构	创建所有子对象 写入所有属性 删除所有子对象 删除 修改权限 所有扩展权限	此对象及所有子对象	此对象及所有后代对象

配置 DNS 对象的审计

1. 使用安装有 Active Directory 服务接口插件的任意计算机登录 → 打开 ADSI Edit 控制台 → 确定 → 右键点击 ADSI Edit → 连接到。
2. 在“连接设置”窗口 → 在“选择或输入一个区别名或命名上下文”下，按照您的域名和区域存储分区输入区别名。
   • 输入 DC=adap, DC=internal,DC=com 作为区别名。（此分区通常默认加载于 Adsiedit）
   • 输入 DC=DomainDNSZones,DC=adap,DC=internal,DC=com 作为区别名。
   • 输入 DC=ForestDNSZones,DC=adap,DC=internal,DC=com 作为区别名。

   

   

3. 在左侧面板导航 → 点击“默认命名上下文” → 右键点击 MicrosoftDNS → 选择属性 → 安全 → 高级 → 审计 → 添加。
4. iv. 在“审计条目”窗口 → 选择主体 → Everyone → 确定 → 类型：成功 → 选择适当权限，如下表所示。



注意：使用“全部清除”以移除所有权限和属性，然后再选择适当权限。

审计条目编号	审计条目对象	访问	应用于
			Windows Server 2003	Windows Server 2008 及更高版本
1&2	DNS 区域	创建 DNS 区域对象 删除 DNS 区域对象	此对象及所有子对象	此对象及所有后代对象
		写入所有属性 删除 修改权限	DNS 区域对象	后代 DNS 区域对象
3&4	DNS 节点	创建 DNS 节点对象 删除 DNS 节点对象	此对象及所有子对象	后代 DNS 区域对象
		写入所有属性 删除 修改权限	DNS 节点对象	后代 DNS 节点对象

注意：对剩余两个默认命名上下文重复步骤 iii. 和 iv.。