配置审核策略 - 手动配置

必须配置审核策略，以便在发生任何活动时记录事件。

用于模块日志记录

1. 使用域管理员凭据登录安装有组策略管理控制台（GPMC）的任意计算机。
2. 打开 GPMC，根据您的设置，编辑：
   • 默认域控制器策略以启用 DC 上的模块日志记录。
   • ADAuditPlusMSPolicy以启用 Windows 服务器上的模块日志记录。
3. 在组策略管理编辑器中，导航至计算机配置 > 策略 > 管理模板 > Windows 组件 > Windows Powershell。在右侧窗格中，右键单击启用模块日志记录 > 已启用。
4. 在选项窗格中，点击 显示。在模块名称 窗口中，输入 * 来记录所有模块，然后按确定.

用于脚本块日志记录

1. 使用域管理员凭据登录安装有 GPMC 的任意计算机。
2. 打开GPMC ，根据您的设置，编辑：
   • 默认域控制器策略以启用 DC 上的模块日志记录。
   • ADAuditPlusMSPolicy以启用 Windows 服务器上的模块日志记录。
3. 在组策略管理编辑器中，导航至计算机配置 > 策略 > 管理模板 > Windows 组件 > Windows Powershell。在右侧窗格中，右键单击启用 PowerShell 脚本块日志记录 > 已启用。