详述Windows Server 2008全面审核策略

　　Windows Server 2008 还可以在安全事件日志中捕捉特定类型的新值和旧值。在以前版本的 Windows 中，审核子系统只记录变更过的 Active Directory® 对象属性名称或注册表值，而不记录属性的以前和当前值。此新功能适用于 Active Directory Domain Services、Active Directory Lightweight Directory Services 和 Windows 注册表。通过在“注册表”或“目录服务变更”子类别上启用“审核成功”或“审核失败”并设置关联的 SACL，详细事件将出现在这些对象的操作事件日志中。这可以使用以下 auditpol 命令来执行：

　　图 3 注册表变更前后

　　此功能在尝试跟踪 对象的变更时尤为有用。对于“目录服务变更”，这些变更出现在一对 Event ID 5136 事件中，如图 4 所示。每个事件在事件正文中都有目录服务“对象”、“属性”和“操作”。对于针对包含现有数据的属性的变更，可看到两个操作：“值已删除”和“值已添加”。对于未填充的属性，在将数据写入到该属性时只能看到“值已添加”操作。例如，当针对某个用户对象(如 telephoneNumber)的属性成功执行了修改操作后，Active Directory 会在详细的事件日志条目中记录属性的以前和当前值。