配置审核策略 - 手动配置
必须配置审核策略,以确保在发生任何活动时记录事件。
- 打开 活动目录用户和计算机。
- 右键单击域,选择 新建 > 组。
- 在打开的 新建对象 - 组 窗口中,输入“ADAuditPlusFS”作为 组名,勾选 组范围:域本地 和 组类型:安全。点击 确定。
- 右键单击新创建的组,选择 属性 > 成员 > 添加。将您希望审核的所有Windows文件服务器作为该组的成员添加。点击 确定。
- 使用域管理员凭证登录到任何安装了 组策略管理控制台(GPMC) 的计算机。
注意:默认情况下,GPMC不会安装在工作站和/或成员服务器上,因此建议在Windows域控制器上配置审核策略。否则,请按照此页面中的步骤在您希望的成员服务器或工作站上安装GPMC。
- 转到 开始 > Windows管理工具 > 组策略管理。
- 在 GPMC 中,右键单击您希望配置组策略的域。选择 创建GPO并链接到此处。在打开的 新建GPO 窗口中,输入“ADAuditPlusFSPolicy”并点击 确定。
- 选择 ADAuditPlusFSPolicy GPO。在 安全过滤 下,选择 经过认证的用户。点击 删除。在打开的 组策略管理 窗口中,选择 确定。
- 选择 ADAuditPlusFSPolicy GPO。在 安全过滤 下,点击 添加,选择之前创建的安全组 ADAuditPlusFS。点击 确定。
高级审核策略帮助管理员对记录哪些活动到日志中进行细粒度控制,有助于减少事件噪音。我们建议在Windows Server 2008及以上版本上配置高级审核策略。
- 要设置此项,右键单击<ADAuditPlusFSPolicy>并选择 编辑。
- 导航到 配置 > Windows设置 > 安全设置 > 高级审核策略配置, 并配置以下设置。
使用高级审计策略时,确保这些策略强制覆盖旧版审计策略。
- 在 <ADAuditPlusFSPolicy> 中启用强制审计策略子类别设置。
- 导航至 计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 审计:强制审计策略子类别设置(Windows Vista 或更高版本)以覆盖审计策略类别设置。
由于 Windows Server 2003 及更早版本不提供高级审计策略,因此需要为这些类型的服务器配置旧版审计策略。
- 要进行此设置,请右键单击策略并选择编辑,以编辑 <ADAuditPlusFSPolicy>。
- 导航至 配置 > Windows 设置 > 安全设置 > 审计策略配置,并配置以下设置。
