配置审核策略 - 手动流程
配置待审核的 Windows 工作站列表
- 打开 Active Directory 用户和计算机。
- 右键点击域并选择 新建 > 组.
- 在 新建对象 - 组 窗口中,输入“ADAuditPlusWS”作为 组名,勾选 组范围:域本地 和 组类型:安全。点击 确定.
- 右键点击新建的组,选择 属性 > 成员 > 添加。将所有需要审核的 Windows 工作站添加为该组成员。点击 确定.
- 使用域管理员凭据,登录安装了 组策略管理控制台(GPMC) 的任意计算机。
注意:GPMC 默认不安装在工作站和/或未在成员服务器上启用,因此建议在 Windows 域控制器上配置审核策略。否则请按照本页中的步骤 安装 GPMC 至您需要的成员服务器或工作站。 进入
- 开始 > Windows 管理工具 > 组策略管理 (GPMC).
- 在 ,右键点击想配置组策略的域。选择在此创建 GPO 并链接 。在新建 GPO 中输入 窗口中,输入“ADAuditPlusWSPolicy”并点击 确定.
- 选择 <域名>_ADAuditPlusWSPolicy GPO。在 安全筛选下,选择 已验证的用户。点击 并移除新建 GPO 组策略管理 窗口打开后,选择 确定.
- 选择 <域名>_ADAuditPlusWSPolicy GPO。在 安全筛选,点击 添加 并选择之前创建的安全组。点击 ADAuditPlusWS 配置高级审核策略 确定.
按以下步骤手动配置审核策略:
使用域管理员凭据,登录任意安装了
- 组策略管理控制台(GPMC)的计算机。,右键点击想配置组策略的域。选择 的任意计算机。
- 进入开始 > Windows 管理工具 > 组策略管理。
- 右键点击 GPO<域名>_ADAuditPlusWSPolicy,选择 编辑.
- 在组策略管理编辑器中,按照以下步骤操作:
注意: 高级审核策略配置仅支持 Windows Server 2008 及以后版本。如使用较老版本的 Windows,请配置传统审核策略。建议配置高级审核策略以避免存储不必要的事件日志,因传统策略包含更多不需要的事件。
- 选择计算机配置 > 策略 > Windows 设置 > 安全设置 > 高级审核策略配置 > 审核策略。
- 点击启用并保存如下审核策略:
| 高级审核策略 |
审核事件 |
| 类别 |
子类别 |
|
| 帐户管理 |
审核计算机帐户管理 |
成功 |
| 审核分发组管理 |
成功 |
| 审核安全组管理 |
成功 |
| 审核用户帐户管理 |
成功和失败 |
| 详细跟踪 |
审核即插即用活动 |
成功和失败 |
| 登录/注销 |
审核注销 |
成功 |
| 审核登录 |
成功和失败 |
| 审核网络策略服务器 |
成功和失败 |
| 审核其他登录/注销事件 |
成功和失败 |
| 对象访问 |
审核文件共享 |
成功和失败 |
| 审核文件系统 |
成功和失败 |
| 审核句柄操作 |
成功 |
| 审核其他对象访问事件 |
成功 |
| 审核可移动存储 |
成功和失败 |
| 策略更改 |
审核认证策略更改 |
成功 |
| 审核授权策略更改 |
成功 |
| 系统 |
审核安全状态更改 |
成功 |
强制高级审核策略
按以下步骤手动强制应用高级审核策略:
- 右键点击<域名>_ADAuditPlusWSPolicy来自 GPMC 的
- 在组策略管理编辑器中,按照以下步骤操作:
- 选择计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 审核:强制审核策略子类别设置(Windows Vista 或更高版本)覆盖审核策略类别设置。
- 启用该策略并点击确定.
配置传统审核策略
按以下步骤手动配置传统审核策略:
- 进入开始 > Windows 管理工具 > 组策略管理。
- 右键点击 GPO<域名>_ADAuditPlusWSPolicy,选择 编辑.
- 在组策略管理编辑器中,按照以下步骤操作:
注意:高级审核策略配置仅支持 Windows Server 2008 及以后版本。如使用较老版本的 Windows,请配置传统审核策略。建议配置高级审核策略以避免存储不必要的事件日志,因传统策略包含更多不需要的事件。
- 选择计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 审核策略。
- 点击启用并保存如下审核策略:
| 本地审核策略 |
审核事件 |
| 类别 |
|
| 审核帐户管理 |
成功和失败 |
| 审核登录事件 |
成功 |
| 审核对象访问 |
成功和失败 |
| 审核策略更改 |
成功 |
| 审核系统事件 |
成功 |
