配置审计策略 - 手动配置

必须配置审计策略，以确保在任何活动发生时记录事件日志。

配置需审计的 Windows 文件服务器列表

1. 打开 Active Directory 用户和计算机.
2. 右键单击域并选择 新建 > 组.
3. 在 新建对象 - 组 窗口中，输入“ADAuditPlusFS”作为 组名，勾选 组范围：域本地 和 组类型：安全。点击 确定.
4. 右键单击新建的组，然后选择 属性 > 成员 > 添加。将所有需要审计的 Windows 文件服务器添加为该组成员。点击 确定.
5. 使用域管理员凭据，登录到任意安装有 组策略管理控制台 (GPMC) 的计算机。

注意：默认情况下，GPMC 不会安装在工作站和/或启用在成员服务器上，因此建议在 Windows 域控制器上配置审计策略。否则，请按照本页中的步骤 安装 GPMC 到您指定的成员服务器或工作站。

6. 进入 开始 > Windows 管理工具 > 组策略管理.
7. 在 GPMC，右键单击要配置组策略的域。选择 在此创建并链接 GPO。在 新建 GPO 窗口中，输入“中输入 ADAuditPlusFSPolicy”，点击 确定.
8. 选择 中输入 ADAuditPlusFSPolicy GPO。在 安全筛选中，选择 经过身份验证的用户。点击 删除。在 组策略管理 弹出的窗口中，选择 确定.
9. 选择 中输入 ADAuditPlusFSPolicy GPO。在 安全筛选，点击 添加 并选择之前创建的安全组。点击 ADAuditPlusFS 配置高级审计策略 确定.

高级审计策略帮助管理员精细控制哪些活动被记录，减少事件噪音。建议在 Windows Server 2008 及以上版本配置高级审计策略。

要进行此设置，右键点击

1. <ADAuditPlusFSPolicy> 策略，选择 编辑。 导航至
2. 配置 > Windows 设置 > 安全设置 > 高级审计策略配置， 并配置以下设置。 类别

子类别	审计事件	目的	对象访问
审计文件系统	审计文件共享 审计句柄操作 成功，失败	成功 文件共享审计 成功	策略更改
审计策略更改	授权策略更改 文件权限更改审计	成功 文件共享审计	强制高级审计策略

使用高级审计策略时，确保强制覆盖旧版审计策略。

在

1. 计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 审计：强制审核策略子类别设置 策略，选择.
2. 配置 > Windows 设置 > 安全设置 > 高级审计策略配置， （Windows Vista 或更高版本）中启用“强制审核策略子类别设置”，以覆盖审计策略类别设置。 配置旧版审计策略

由于 Windows Server 2003 及更早版本不支持高级审计策略，需要为这些服务器配置旧版审计策略。

右键点击策略，选择编辑。

1. <ADAuditPlusFSPolicy> 策略，选择 配置 > Windows 设置 > 安全设置 > 审计策略配置
2. 配置 > Windows 设置 > 安全设置 > 高级审计策略配置， ，并配置以下设置。文件完整性监控

子类别	目的	对象访问
审计文件系统	成功	策略更改 没有找到您要找的内容？ 强制高级审计策略