|
|
为了让ADAP报告安全事件,必须正确设置系统访问控制列表(SACL) 。
1. 从开始菜单访问活动目录用户和计算机控制台的步骤:
打开"活动目录用户和计算机"
(点击"开始" --> "控制面板" --> "管理工具" -->> "活动目录用户和计算机")
2. 对域启用高级安全设置的步骤:(参照图示1)
“查看” --> 从下拉菜单选择"高级功能",将显示所选对象的高级安全设置
在控制台树,右键点击"域"
点击"属性",然后点击"安全"标签
点击"高级",打开窗口,然后点击"审计"标签
点击"添加"添加您想把安全策略应用到的安全主体(假设是 "所有人"),然后点击确定
将打开选择“权限项”的窗口
1. 对组织单位启用以下审计项:
|
|
设置SACL的对象 |
审计项应用到 |
类型 |
访问 |
>应用到 |
|
SACL创建、删除组织单位对象 |
域 |
所有人 |
成功 |
创建组织单位对象、删除组织单位对象 |
该对象和所有子对象 |
|
SACL写入所有属性、删除和编辑权限 |
域 |
所有人 |
成功 |
写入所有属性、删除、编辑权限 |
该对象和所有子对象 |
|
SACL启用审计在组织单位创建子对象(用户、组、计算机) |
域 |
所有人 |
成功 |
创建用户对象、创建组对象、创建计算机对象 |
该对象和所有子对象 |
2. 对组策略对象启用以下审计项:
|
|
设置SACL的对象 |
审计项应用到 |
类型 |
访问 |
应用到 |
|
SACL创建、删除组策略对象 |
>域 |
>所有人 |
>成功 |
|
该对象和所有子对象 |
|
SACL写入所有属性、删除和编辑权限 |
>域 |
>所有人 |
>成功 |
|
该对象和所有子对象 |
3. 对组织单位和GPO对象启用的高级安全审计项:
图示2
|
|