28、Windows Server 2008 活动目录服务审计与安全策略配置

Windows Server 2008 活动目录服务审计与安全策略配置

1. 活动目录服务审计概述

活动目录服务审计能够帮助我们跟踪用户在整个域中的操作，例如登录、注销、访问文件和文件夹等。当创建并应用审计策略后，可审计事件会记录在事件发生的计算机的安全日志中，之后可以通过事件查看器连接到相应计算机来查看其安全日志。

2. 活动目录审计的新特性

Windows Server 2008 引入了新的命令行工具 auditpol.exe ，同时在“审核目录服务访问”类别中增加了子类别。在之前的 Windows Server 版本中，单一的“目录服务访问”类别控制所有目录服务事件的审计，而在 Windows Server 2008 中，有以下四个子类别：
- 目录服务访问 ：跟踪对系统访问控制列表（SACL）已配置审计的 AD DS 对象的所有访问尝试，包括对象的删除。
- 目录服务更改 ：跟踪对 SACL 已配置审计的 AD DS 对象的修改，包括对象属性修改时记录新旧值、新对象创建时记录属性值、对象移动时记录新旧位置的可分辨名称、对象恢复时记录位置及属性变化。
- 目录服务复制 ：跟踪 Active Directory 命名上下文副本同步的开始和结束。
- 详细目录服务复制 ：跟踪其他 AD DS 复制事件，如 Active Directory 副本源命名上下文的建立、删除或修改，AD DS 对象属性的复制，以及从副本中删除残留对象。