我们知道在Windows Server 2008以前的Sever版本中当AC启用审计策略后,会产生大量的事件日志造成DC性能的降低和磁盘空间的负担,而且,也不能记录某个属性更改前后的值。二Server 2008的的审核策略非常强大,特别是针对AD做了很多优化和扩展,其审计更为详细。
笔者认为对于AD,Server 2008的审核策略中针对事件记录,诸如精确记录属性修改前后的值、记录修改时间、记录修改者、记录修改对象这几项非常实用,有助于管理者对DC的安全管理和维护。下面我们结合实例演示一个新的审核策略的详细配置过程。
首先在命令行下输入命令“auditpol /set /subcategory:"directory service changes" /success:enable”以启用策略(提示,上面的命令适合于英文版的Server 2008,如果你是中文版的可输入命令“AuditPol /set /subcategory:"目录服务更改" /success:enable“directory server changes”。如果还不可以的话,我们用32位ID来代替实例名。我们可以执行命令AuditPol /backup/file:c:\test.csv将审核策略保存为test.csv,然后用记事本打开查看到与“目录服务更改”对应的ID,然后执行命令,比如AuditPol /set /subcategory:{0CCE923C-69AE-11D9-BED3-505054503030} /success:enable即可)。然后输入命令gpupdage更新组策略。(图7)
图7 用审核策略加强AD管理
然后“开始→管理工具→Active Directory用户和计算机”打开AD用户和计算机管理器,找到你需要启用审核策略的OU(组织单元)比如ctocio,右键单击选择“属性”打开其属性对话框,在“安全”标签下点击“高级”按钮在打开的对话框中点击“审核”标签,点击下面的“添加”按钮输入Authenticated Users或者其他对对象然后退回到审核项目窗口。在“应用到”下拉列表中选择“后代 用户 对象”(或者其他),然后勾选“访问”下的“写入全部属性”中的“成功”,最后依次退出设置窗口。(图8)
图8 用审核项目
