配置审计策略 - 手动配置

配置高级审计策略

高级审计策略帮助管理员对哪些活动被记录在日志中进行细粒度控制，帮助减少事件噪声。我们建议在 Windows Server 2008 及以上版本上配置高级审计策略。

1. 使用域管理员凭据登录到任何具有组策略管理控制台（GPMC）的计算机。打开 GPMC，然后根据您的设置，右键点击 默认域控制器策略 或 ADAuditPlusMSPolicy，选择 编辑。

注意： 如果在域控制器上安装了 AD FS，请在默认域控制器策略 GPO 中配置审计策略。
如果在 Windows 服务器上安装了 AD FS，请在 ADAuditPlusMSPolicy GPO 中配置审计策略。

2. 在 组策略管理编辑器 中，转到 计算机配置 > 策略 > Windows 设置 > 安全设置 > 高级审计策略配置 > 审计策略。
3. 双击 对象访问。
4. 在右侧窗格中右键点击 审计应用程序生成。选择 属性，然后勾选 成功 和 失败 旁边的框。

   

强制实施高级审计策略

使用高级审计策略时，确保其强制覆盖旧版审计策略。

1. 使用域管理员凭据登录到任何具有 GPMC 的计算机。打开 GPMC，然后根据您的设置，右键点击 默认域控制器策略 或 ADAuditPlusMSPolicy, 然后选择 编辑。

注意： 如果在域控制器上安装了 AD FS，请在默认域控制器策略 GPO 中配置审计策略。
如果在 Windows 服务器上安装了 AD FS，请在 ADAuditPlusMSPolicy GPO 中配置审计策略。

2. 在 组策略管理编辑器 中，转到 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项。
3. 在右侧窗格中右键点击 审计：强制审计策略子类设置
4. 选择 属性，然后选择 已启用。

   

配置旧版审计策略

由于 Windows Server 2003 及更早版本中没有高级审计策略，因此需要为这些类型的服务器配置旧版审计策略。

1. 使用域管理员凭据登录到任何具有 GPMC 的计算机。打开 GPMC，然后根据您的设置，右键点击 默认域控制器策略 或 ADAuditPlusMSPolicy，然后选择 编辑。

   注意： 如果在域控制器上安装了 AD FS，请在默认域控制器策略 GPO 中配置审计策略。

   
   如果 AD FS 已在 Windows 服务器上安装，请在 ADAuditPlusMSPolicy GPO 中配置审计策略。

2. 在 组策略管理编辑器 中，转到 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项。
3. 双击 审计策略。
4. 右键单击右窗格中的 对象访问 策略。选择 属性，然后勾选 成功 和 失败 旁边的框。