在您的域中配置审计策略 - 手动过程

配置高级审计策略

高级审核策略帮助管理员对哪些活动被记录在日志中进行 granular 控制，从而减少事件噪声。我们建议在 Windows Server 2008 及以上版本上配置高级审核策略。

• 使用域管理员凭据登录到任何拥有组策略管理控制台（GPMC）的计算机。
• 打开 GPMC，然后根据您的设置，右键单击 默认域控制器策略 或 ADAuditPlusMSPolicy 或 ADAuditPlusWSPolicy，选择 编辑。

注意：有关适当的组策略，请参阅以下表格：

在此启用 FIM	右键单击
域控制器	默认域控制器策略 GPO
Windows 服务器	ADAuditPlusMSPolicy GPO
工作站	ADAuditPlusWSPolicy GPO

• 在 组策略管理编辑器 中，转到 计算机配置 > 策略 > Windows 设置 > 安全设置 > 高级审核策略配置， 并配置以下设置：

类别	子类别	审核事件
对象访问	审核文件系统 审核文件共享 审核句柄操作	成功、失败 成功 成功、失败

强制实施高级审核策略

使用高级审核策略时，请确保它们优先于遗留审核策略。

• 使用域管理员凭据登录到任何拥有 GPMC 的计算机。
• 打开 GPMC，然后根据您的设置，右键单击 默认域控制器策略 或 ADAuditPlusMSPolicy 或 ADAuditPlusWSPolicy，然后选择编辑。



在此启用 FIM	右键单击
域控制器	默认域控制器策略 GPO
Windows 服务器	ADAuditPlusMSPolicy GPO
工作站	ADAuditPlusWSPolicy GPO

• 在 组策略管理编辑器 中，转到 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项。
• 右键单击右侧窗格中的 审核：强制审计策略子类别设置。
• 选择 属性，然后选择 已启用。

配置传统审计策略

由于在 Windows Server 2003 及更早版本中不可用高级审计策略，因此需要为这些类型的服务器配置传统审计策略。

• 使用域管理员凭据登录到任何具有 GPMC 的计算机。
• 打开 GPMC，并根据您的设置，右键单击默认域控制器策略或 ADAuditPlusMSPolicy 或 ADAuditPlusWSPolicy，然后选择编辑。



要启用 FIM	右键单击
域控制器	默认域控制器策略 GPO
Windows 服务器	ADAuditPlusMSPolicy GPO
工作站	ADAuditPlusWSPolicy GPO

• 在 组策略管理编辑器 中，转到 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略。
• 双击 审计策略。
• 右键单击右侧窗格中的 对象访问 策略。
• 选择 属性，然后勾选 成功 旁边的框。