服务账户配置
概述
ADAudit Plus 在提供域管理员凭据后立即开始审核活动。如果您不想提供域管理员凭据,请按照本指南中列出的步骤设置服务账户,仅授予审计环境所需的最少权限。
注意:如果您想在 ADAudit Plus 中配置多个域,我们建议为每个单独的域创建单独的服务账户。
新用户、组和 GPO 创建
创建新用户
- 使用域管理员权限登录到您的域控制器 → 打开 Active Directory 用户和计算机 → 右键单击您的域 → 新建 → 用户 → 将用户命名为 "ADAudit Plus"。
创建新组
- 使用域管理员权限登录到您的域控制器 → 打开 Active Directory 用户和计算机 → 右键单击您的域 → 新建 → 组 → 将组命名为 "ADAudit Plus 权限组"。
- 将所有被审计的计算机添加为“ADAudit Plus 权限组”的成员:右键单击“ADAudit Plus 权限组” → 属性 → 成员 → 添加您希望审核的所有域控制器、Windows 服务器和工作站。
创建新的域级 GPO 并将其链接到所有被审计的计算机
由于在单个计算机上配置权限是一个复杂的过程,因此会创建一个域级 GPO,并应用于所有监控的计算机。
- 使用域管理员权限登录到您的域控制器。
- 创建新的域级 GPO:
打开组策略管理控制台 → 右键单击您的域 → 在该域中创建 GPO 并在此链接 → 将 GPO 命名为"ADAudit Plus 权限 GPO"
- 删除对经过身份验证的用户组的应用组策略权限:
点击“ADAudit Plus 权限 GPO” → 导航到右侧面板,点击委派选项卡 → 高级 → 点击经过身份验证的用户 → 删除应用组策略权限。
- 将“ADAudit Plus 权限组”添加到“ADAudit Plus 权限 GPO”的安全过滤器设置:
打开组策略管理控制台 → 域 → 选择“ADAudit Plus 权限 GPO” → 导航到右侧面板,点击委派选项卡 → 高级 → 添加“ADAudit Plus 权限组” → 勾选应用组策略。
事件日志收集所需的权限/权限
授予用户管理审计和安全日志的权限
管理审计和安全日志的权限允许用户定义对象级别的审计。
- 使用域管理员权限登录到您的域控制器→ 打开组策略管理控制台 → 右键单击“ADAudit Plus 权限 GPO” → 编辑。
- 在组策略管理编辑器中 → 计算机配置 → 策略 → Windows 设置 → 安全设置 → 本地策略 → 用户权限分配。
- 导航到右侧面板,右键单击管理审计和安全日志 → 属性 → 添加“ADAudit Plus”用户。
2. 将用户添加为事件日志读取器组的成员
事件日志读取器组的成员将能够读取所有被审计计算机的事件日志。
- 对于域控制器:
使用域管理员权限登录到您的域控制器 → 打开活动目录用户和计算机 → 内置容器 → 导航到右侧面板,右击事件日志读取器 → 属性 → 成员 → 添加"ADAudit Plus"用户。
- 对于其他计算机(Windows服务器和工作站):
a. 使用域管理员权限登录到您的域控制器 → 打开组策略管理控制台 → 右击"ADAudit Plus Permission GPO" → 编辑。
b. 在组策略管理编辑器中 → 计算机配置 → 首选项 → 控制面板设置 → 右击本地用户和组 → 新建 → 本地组 → 在组名下选择事件日志读取器组 → 添加"ADAudit Plus"用户。
注意: 要读取事件日志,您还需要授予"ADAudit Plus"用户对HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security的读取权限。
- 使用域管理员权限登录到您的域控制器 → 打开组策略管理控制台 → 右击"ADAudit Plus Permission GPO" → 编辑。
- 在组策略管理编辑器中 → 计算机配置 → 策略 → Windows 设置 → 安全设置 → 右键单击注册表 → 添加键。
- 在选择注册表项窗口中,导航到MACHINE → SYSTEM → CurrentControlSet → Services → EventLog → Security → 点击确定 → 授予"ADAudit Plus"用户读取权限 → 点击应用。
- 在添加对象窗口中,选择配置此键然后 → 用可继承权限替换所有子键上的现有权限 → 点击确定。
自动审计策略和对象级审计配置所需的权限/权限
域控制器审计配置所需的权限/权限
授予服务帐户以下权限/权限,允许ADAudit Plus在您的环境中自动配置所需的审计策略和对象级审计设置。ADAudit Plus通过GPO将所需的设置推送到包含所有被监视计算机的组中。
- 使用域管理员权限登录到您的域控制器 → 打开组策略管理控制台 → 点击默认域控制器策略 → 导航到右侧面板,点击委派选项卡 → 添加ADAudit Plus用户 → 提供编辑设置的权限。
成员服务器、工作站和文件服务器审计配置所需的权限/许可
将用户添加为组策略创建者所有者组的成员
- 使用域管理员权限登录到域控制器 → 打开活动目录用户和计算机 → 单击用户 → 在右侧面板中,右键单击组策略创建者所有者组 → 将"ADAudit Plus"用户添加为成员。
授予用户,组管理权限
- 使用域管理员权限登录到域控制器 → 打开活动目录用户和计算机。
点击查看并确保启用高级功能。这将显示活动目录用户和计算机中所选对象的高级安全设置。
- 右键单击用户 → 属性 → 安全 → 高级 → 权限 → 添加 → 在用户的权限条目窗口中,选择主体:ADAudit Plus用户 → 类型:允许 → 适用于:此对象及所有后代对象 → 选择权限:创建组对象和删除组对象。
注意: 在选择上述权限之前,使用清除所有以删除所有权限和属性。
- 在活动目录用户和计算机控制台中 → 右键单击用户 → 属性 → 安全 → 高级 → 权限 → 添加 → 在用户的权限条目窗口中 → 选择主体:ADAudit Plus用户 → 类型:允许 → 适用于:后代组对象 → 选择属性:写成员。
注意: 在选择上述属性之前,使用清除所有以删除所有权限和属性。
