配置审计策略 - 手动配置

审核策略必须配置为在任何活动发生时记录事件。

对于模块日志记录

1. 使用域管理员凭据登录到任何具有组策略管理控制台（GPMC）的计算机。
2. 打开GPMC，并根据您的设置，编辑：
   • 默认域控制器策略以在DC上启用模块日志记录。
   • ADAuditPlusMSPolicy以在Windows服务器上启用模块日志记录。
3. 在组策略管理编辑器中，转到计算机配置 > 策略 > 管理模板 > Windows组件 > Windows Powershell。导航到右侧窗格，右键单击启用模块日志记录 > 启用。
4. 在选项窗格中，单击显示。在模块名称窗口中，输入*以记录所有模块，然后按确定。

对于脚本块日志记录

1. 使用域管理员凭据登录到任何具有GPMC的计算机。
2. 打开GPMC，并根据您的设置，编辑：
   • 默认域控制器策略以在DC上启用模块日志记录。
   • ADAuditPlusMSPolicy以在Windows服务器上启用模块日志记录。
3. 在组策略管理编辑器中，转到计算机配置 > 策略 > 管理模板 > Windows组件 > Windows Powershell。导航到右侧窗格，右键单击启用PowerShell脚本块日志记录 > 启用。