配置审计策略

Amazon FSx 文件系统可以与自管理的 Microsoft Active Directory (AD) 或 AWS 管理的 Microsoft AD 一起使用。

自管理的 Microsoft AD

如果您使用自我管理的 Microsoft AD 来访问 Amazon FSx 文件系统，并且已向域设置下配置的用户分配了足够的权限，当您将文件系统添加到审核时，ADAudit Plus 会自动配置所需的审核策略。否则，您可以按照“手动审核策略配置”中的步骤手动配置审核策略。

AWS 管理的 Microsoft AD

如果您使用 AWS 管理的 Microsoft AD 访问 Amazon FSx 文件系统，请按照“手动审核策略配置”中的步骤配置所需的审核策略。

手动审核策略配置

配置要审核的 Amazon FSx Windows 文件系统列表：

1. 打开 Active Directory 用户和计算机。
2. 右键单击域，选择 新建 > 组。
3. 在打开的 新对象 - 组 窗口中，输入“ADAuditPlusFS”作为 组名，检查 组范围：域本地 和 组类型：安全。点击 确定。
4. 右键单击新创建的组，然后选择 属性 > 成员 > 添加。将要审核的所有 Windows 文件服务器添加为该组的成员。点击 确定。
5. 使用域管理员凭据登录任何具有组策略管理控制台 (GPMC) 的计算机。

   注意：GPMC 默认不会安装在工作站和/或未在成员服务器上启用，因此我们建议在 Windows 域控制器上配置审核策略。否则，按照此页面中的步骤在所需的成员服务器或工作站上安装 GPMC。

6. 转到 开始 > Windows 管理工具 > 组策略管理。
7. 根据您是使用自我管理的 Microsoft AD 还是 AWS 管理的 Microsoft AD，执行以下步骤：
   • 自我管理的 Microsoft AD

     在 GPMC 中，右键单击要配置组策略的域。选择 创建 GPO 并在此链接。在打开的 新 GPO 窗口中，输入“ADAuditPlusFSPolicy”并点击 确定。

   • AWS 管理的 Microsoft AD

     在 GPMC 中，右键单击与您的域同名的 OU（由 AWS 创建且您具有“编辑”访问权限的 OU）。选择 创建 GPO 并在此链接。在打开的 新 GPO 窗口中，输入“ADAuditPlusFSPolicy”并点击 确定

8. 选择 ADAuditPlusFSPolicy GPO。在 安全过滤 下，选择 经过身份验证的用户。点击 移除。在打开的 组策略管理 窗口中，选择 确定。
9. 选择 ADAuditPlusFSPolicy GPO。在 安全过滤 下，点击 添加，选择之前创建的安全组 ADAuditPlusFS。点击 确定。

配置高级审核策略

高级审核策略帮助管理员对记录在日志中的活动进行细致控制，减少事件噪声。我们建议在 Windows Server 2008 及以上版本中配置高级审核策略。

1. 要设置此项，编辑 <ADAuditPlusFSPolicy> 右键单击策略并选择 编辑.
2. 导航到 配置 > Windows 设置 > 安全设置 > 高级审计策略配置，并配置以下设置。

强制高级审计策略

使用高级审计策略时，确保它们优先于传统审计策略。

1. 在 <ADAuditPlusFSPolicy> 中启用强制审计策略子类别设置。
2. 导航到 计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 审计：强制审计策略子类别设置 (Windows Vista 或更高版本) 来覆盖审计策略类别设置。

配置传统审计策略

由于 Windows Server 2003 及更早版本中没有高级审计策略，因此需要为这些类型的服务器配置传统审计策略。

1. 要设置此项，请右键单击策略并选择 编辑 来编辑 <ADAuditPlusFSPolicy>。
2. 导航到 配置 > Windows 设置 > 安全设置 > 审计策略配置 并配置以下设置。