配置审计策略

Amazon FSx 文件系统可与自管理 Microsoft Active Directory (AD) 或 AWS 托管的 Microsoft AD 一起使用。

自管理 Microsoft AD

如果您使用自管理 Microsoft AD 与 Amazon FSx 文件系统，并已为域设置下配置的用户分配了足够的权限，ADAudit Plus 会在添加文件系统以进行审计时自动配置所需的审计策略。否则，您可以按照“手动审计策略配置”中列出的步骤手动配置审计策略。

AWS 托管的 Microsoft AD

如果您使用 AWS 托管的 Microsoft AD 与 Amazon FSx 文件系统，请按照“手动审计策略配置”中的步骤配置所需的审计策略。

手动审计策略配置

配置要审计的 Amazon FSx Windows 文件系统列表：

1. 打开 Active Directory Users and Computers.
2. 右键单击域并选择 New > Group.
3. 在 新对象 - 组 窗口中，输入“ADAuditPlusFS”作为 组名，选中 组范围：域本地 和 组类型：安全。点击 确定.
4. 右键单击新创建的组，然后选择 属性 > 成员 > 添加。将所有要审计的 Windows 文件服务器添加为该组成员。点击 确定.
5. 使用域管理员凭据，登录到任何安装有 组策略管理控制台 (GPMC) 的计算机。

   注意：GPMC 默认不会安装在工作站和/或成员服务器上，因此建议在 Windows 域控制器上配置审计策略。否则，请按照 本页 中的步骤在所需的成员服务器或工作站上安装 GPMC。

6. 转到 开始 > Windows 管理工具 > 组策略管理.
7. 根据您使用的是自管理 Microsoft AD 还是 AWS 托管的 Microsoft AD，按照以下步骤操作：
   • 自管理 Microsoft AD

     在 在 GPMC 中，右键单击您要配置组策略的域。选择 在此处创建并链接 GPO。在 新建 GPO 窗口中，输入“中，输入ADAuditPlusFSPolicy 确定.

   • AWS 托管的 Microsoft AD

     在 在 GPMC 中”并点击确定。右键单击与您的域同名的 OU（AWS 创建且您有“编辑”权限的 OU）。选择 在此处创建并链接 GPO。在 新建 GPO 窗口中，输入“中，输入ADAuditPlusFSPolicy 确定

8. 选择 中，输入 GPO。在 安全筛选下面，选择 已验证的用户。点击 并移除。在 组策略管理 窗口中打开的项目，选择 确定.
9. 选择 中，输入 GPO。在 安全筛选，点击 添加 并选择之前创建的安全组。点击 ADAuditPlusFS 确定 确定.

配置高级审计策略

高级审计策略帮助管理员对要记录的活动进行细粒度控制，有助于减少事件噪声。我们建议在 Windows Server 2008 及更高版本上配置高级审计策略。

1. 要设置此项，请右键单击 <ADAuditPlusFSPolicy> 策略并选择 编辑.
2. 导航至 配置 > Windows 设置 > 安全设置 > 高级审计策略配置，并配置以下设置。

强制使用高级审计策略

使用高级审计策略时，确保它们覆盖传统审计策略。

1. 在 <ADAuditPlusFSPolicy>.
2. 导航至 计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 审计：强制审核策略子类别设置 （Windows Vista 或更高版本）中启用“强制审核策略子类别设置”，以覆盖审计策略类别设置。

配置传统审计策略

由于 Windows Server 2003 及更早版本不支持高级审计策略，需要为这些服务器配置传统审计策略。

1. 要设置此项，请右键单击 <ADAuditPlusFSPolicy> 策略并选择 编辑.
2. 导航至 配置 > Windows 设置 > 安全设置 > 审计策略配置 并配置以下设置。