手动配置审计策略

配置需审计的Windows服务器列表

1. 打开 Active Directory 用户和计算机.
2. 右键单击域并选择 新建 > 组.
3. 在 新建对象 - 组 弹出的窗口中，输入“ADAuditPlusMS” 作为 组名，勾选 组范围：域本地 和 组类型：安全。点击 确定.
4. 右键单击新建的组，选择 属性 > 成员 > 添加。将所有你想审计的Windows服务器添加为该组成员。点击 确定.
5. 使用域管理员凭据，登录安装有 组策略管理控制台（GPMC） 的任意计算机。

   注意： GPMC默认不会安装在工作站和/或成员服务器上，建议在Windows域控制器上配置审计策略。否则请参照本页 的步骤 在你希望的成员服务器或工作站上安装GPMC。

6. 依次进入 开始 > Windows管理工具 > 组策略管理.
7. 在 GPMC，右键单击你想配置组策略的域，选择 在此创建一个GPO并链接。在 新建GPO 弹出的窗口中，输入“名称中输入ADAuditPlusMSPolicy 确定.
8. ”并点击 名称中输入 选择 GPO。在安全筛选 中选择。点击 经过身份验证的用户。在 删除 组策略管理 确定.
9. ”并点击 名称中输入 选择 GPO。在窗口中弹出的选项，点击 添加 并选择之前创建的安全组。点击确定。 ADAuditPlusMS 配置高级审计策略 

高级审计策略帮助管理员对记录日志的活动进行细致控制，有助于减少事件噪声。 建议在Windows Server 2008及以上版本上配置高级审计策略。

使用拥有域管理员权限的凭据登录安装有GPMC的任意计算机，打开GPMC，然后右键单击

1.  并选择名称中输入编辑在组策略管理编辑器中，依次进入.
2. 计算机配置 → 策略 → Windows 设置 → 安全设置 → 高级审计策略配置 → 审计策略 。双击相关策略设置。在右侧窗格中，右键单击相关的子类别，选择
3. 属性，然后根据下表选择成功、失败或两者。分类

子类别	审计事件	帐户管理
审计计算机帐户管理	审计分发组管理 审计安全组管理 成功	审计用户帐户管理
	成功和失败	详细跟踪
审计进程创建	审计进程终止 DS 访问	审计用户帐户管理
审计目录服务更改	审计目录服务访问 登录/注销	审计用户帐户管理
审计登录	审计网络策略服务器 审计其他登录/注销事件 审计注销	详细跟踪
	对象访问	审计用户帐户管理
审计文件系统	审计句柄操作 审计文件共享 策略更改	详细跟踪
审计身份验证策略更改	审计授权策略更改 系统	审计用户帐户管理
审计安全状态更改	强制高级审计策略	审计用户帐户管理

使用高级审计策略时，确保它们覆盖传统审计策略。 

使用域管理员凭据登录安装有GPMC的任意计算机，打开GPMC，右键单击

1. ，然后选择名称中输入编辑。计算机配置 → 策略 → Windows 设置 → 安全设置 → 本地策略 → 安全选项。
2. 计算机配置 → 策略 → Windows 设置 → 安全设置 → 高级审计策略配置 → 审计策略 在右侧窗格中，右键单击
3. 审计：强制审计策略子类别设置。选择 ，然后，然后根据下表选择启用配置传统审计策略.

由于Windows Server 2003及更早版本不支持高级审计策略，需要配置传统审计策略以适用于这些服务器。

计算机配置 → 策略 → Windows 设置 → 安全设置 → 本地策略

1. ，然后选择名称中输入编辑。计算机配置 → 策略 → Windows 设置 → 安全设置 → 本地策略 → 安全选项。
2. 计算机配置 → 策略 → Windows 设置 → 安全设置 → 高级审计策略配置 → 审计策略 ，双击审计策略。 在右侧窗格中，右键单击相关策略，选择
3. ，然后根据下表选择，然后根据下表选择，或两者：或两者。帐户登录

子类别	帐户管理
审计登录/注销	详细跟踪
成功和失败	目录服务访问
审计计算机帐户管理	审计用户帐户管理
进程跟踪	审计用户帐户管理
系统事件	审计用户帐户管理
审计文件系统	审计用户帐户管理
没有找到您需要的吗？	审计用户帐户管理