Udostępnij za pośrednictwem

Inspekcja obiektów usługi Active Directory w systemie Windows Server 2003

W tym artykule krok po kroku opisano sposób korzystania z inspekcji systemu Windows Server 2003 w celu śledzenia działań użytkownika i zdarzeń dotyczących całego systemu w usłudze Active Directory.

Dotyczy: Windows Server 2003
Oryginalny numer KB: 814595

Podsumowanie

Inspekcja systemu Windows Server 2003 umożliwia śledzenie działań użytkownika i działań systemu Windows Server 2003, które są nazwane zdarzeniami na komputerze. Podczas korzystania z inspekcji można określić, które zdarzenia są zapisywane w dzienniku zabezpieczeń. Na przykład dziennik zabezpieczeń może zachować rekord zarówno prawidłowych, jak i nieprawidłowych prób logowania oraz zdarzeń związanych z tworzeniem, otwieraniem lub usuwaniem plików lub innych obiektów. Wpis inspekcji w dzienniku zabezpieczeń zawiera następujące informacje:

  • Wykonywana akcja.
  • Użytkownik, który podjął akcję.
  • Powodzenie lub niepowodzenie zdarzenia oraz czas wystąpienia zdarzenia.

Ustawienie zasad inspekcji definiuje kategorie zdarzeń dzienników systemu Windows Server 2003 w dzienniku zabezpieczeń na każdym komputerze. Dziennik zabezpieczeń umożliwia śledzenie zdarzeń, które określisz.

Podczas inspekcji zdarzeń usługi Active Directory system Windows Server 2003 zapisuje zdarzenie w dzienniku zabezpieczeń na kontrolerze domeny. Na przykład użytkownik próbuje zalogować się do domeny przy użyciu konta użytkownika domeny. Jeśli próba logowania nie powiedzie się, zdarzenie jest rejestrowane na kontrolerze domeny, a nie na komputerze, na którym podjęto próbę logowania. Takie zachowanie występuje, ponieważ jest to kontroler domeny, który próbował uwierzytelnić próbę logowania, ale nie mógł tego zrobić.

Użyj Podgląd zdarzeń, aby wyświetlić zdarzenia dzienników systemu Windows Server 2003 w dzienniku zabezpieczeń. Możesz również archiwizować pliki dziennika, aby śledzić trendy w czasie. Na przykład chcesz określić użycie drukarek lub plików albo zweryfikować użycie nieautoryzowanych zasobów.

Aby włączyć inspekcję obiektów usługi Active Directory:

  • Skonfiguruj ustawienie zasad inspekcji dla kontrolera domeny. Podczas konfigurowania ustawienia zasad inspekcji można przeprowadzać inspekcję obiektów, ale nie można określić obiektu, który chcesz przeprowadzić inspekcję.
  • Skonfiguruj inspekcję dla określonych obiektów usługi Active Directory. Po określeniu zdarzeń do inspekcji plików, folderów, drukarek i obiektów usługi Active Directory system Windows Server 2003 śledzi i rejestruje te zdarzenia.

Konfigurowanie ustawienia zasad inspekcji dla kontrolera domeny

Domyślnie inspekcja jest wyłączona. W przypadku kontrolerów domeny ustawienie zasad inspekcji jest skonfigurowane dla wszystkich kontrolerów domeny w domenie. Aby przeprowadzić inspekcję zdarzeń występujących na kontrolerach domeny, należy skonfigurować ustawienie zasad inspekcji, które ma zastosowanie do wszystkich kontrolerów domeny w nielokalnych obiekt zasad grupy (GPO) dla domeny. Dostęp do tego ustawienia zasad można uzyskać za pośrednictwem jednostki organizacyjnej Kontrolery domeny. Aby przeprowadzić inspekcję dostępu użytkowników do obiektów usługi Active Directory, skonfiguruj kategorię zdarzeń Inspekcja dostępu do usługi katalogowej w ustawieniu zasad inspekcji.

Uwaga 16.

  • Musisz przyznać użytkownikowi Zarządzanie inspekcją i dziennikiem zabezpieczeń prawo do komputera, na którym chcesz skonfigurować ustawienie zasad inspekcji lub przejrzeć dziennik inspekcji. Domyślnie system Windows Server 2003 przyznaje te prawa grupie Administratorzy.
  • Pliki i foldery, które mają być poddawane inspekcji, muszą znajdować się na woluminach systemu plików MICROSOFT Windows NT (NTFS).

Aby skonfigurować ustawienie zasad inspekcji dla kontrolera domeny:

  1. Wybierz pozycję Uruchom>programy>Narzędzia administracyjne, a następnie wybierz pozycję Użytkownicy i komputery usługi Active Directory.

  2. W menu Widok wybierz pozycję Funkcje zaawansowane.

  3. Kliknij prawym przyciskiem myszy kontrolery domeny, a następnie wybierz polecenie Właściwości.

  4. Wybierz kartę Zasady grupy, wybierz pozycję Domyślne zasady kontrolera domeny, a następnie wybierz pozycję Edytuj.

  5. Wybierz pozycję Konfiguracja komputera, kliknij dwukrotnie pozycję Ustawienia systemu Windows, kliknij dwukrotnie pozycję Ustawienia zabezpieczeń, kliknij dwukrotnie pozycję Zasady lokalne, a następnie kliknij dwukrotnie pozycję Zasady inspekcji.

  6. W okienku po prawej stronie kliknij prawym przyciskiem myszy pozycję Inspekcja dostępu usług katalogowych, a następnie wybierz polecenie Właściwości.

  7. Wybierz pozycję Zdefiniuj te ustawienia zasad, a następnie zaznacz jedno lub oba z następujących pól wyboru:

    • Powodzenie: zaznacz to pole wyboru, aby przeprowadzić inspekcję pomyślnych prób dla kategorii zdarzeń.
    • Niepowodzenie: zaznacz to pole wyboru, aby przeprowadzić inspekcję nieudanych prób dla kategorii zdarzeń.

  8. Kliknij prawym przyciskiem myszy dowolną inną kategorię zdarzeń, którą chcesz przeprowadzić inspekcję, a następnie wybierz pozycję Właściwości.

  9. Wybierz przycisk OK.

  10. Zmiany wprowadzone w ustawieniu zasad inspekcji komputera obowiązują tylko wtedy, gdy ustawienie zasad jest propagowane lub stosowane do komputera. Wykonaj jedną z następujących czynności, aby zainicjować propagację zasad:

    • Wpisz gpupdate /Target:computer polecenie w wierszu polecenia, a następnie naciśnij ENTER.
    • Poczekaj na propagację zasad automatycznych, która występuje w regularnych odstępach czasu, które można skonfigurować. Domyślnie propagacja zasad odbywa się co pięć minut.

  11. Otwórz dziennik zabezpieczeń, aby wyświetlić zarejestrowane zdarzenia.

    Uwaga 16.

    Jeśli jesteś domeną lub administratorem przedsiębiorstwa, możesz zdalnie włączyć inspekcję zabezpieczeń dla stacji roboczych, serwerów członkowskich i kontrolerów domeny.

Konfigurowanie inspekcji dla określonych obiektów usługi Active Directory

Po skonfigurowaniu ustawienia zasad inspekcji można skonfigurować inspekcję dla określonych obiektów, takich jak użytkownicy, komputery, jednostki organizacyjne lub grupy, określając zarówno typy dostępu, jak i użytkowników, których dostęp ma zostać poddany inspekcji. Aby skonfigurować inspekcję dla określonych obiektów usługi Active Directory:

  1. Wybierz pozycję Uruchom>programy>Narzędzia administracyjne, a następnie wybierz pozycję Użytkownicy i komputery usługi Active Directory.

  2. Upewnij się, że w menu Widok wybrano pozycję Funkcje zaawansowane.

  3. Kliknij prawym przyciskiem myszy obiekt usługi Active Directory, który chcesz przeprowadzić inspekcję, a następnie wybierz pozycję Właściwości.

  4. Wybierz kartę Zabezpieczenia , a następnie wybierz pozycję Zaawansowane.

  5. Wybierz kartę Inspekcja, a następnie wybierz pozycję Dodaj.

  6. Przeprowadź jedną z następujących czynności:

    • Wpisz nazwę użytkownika lub grupy, której dostęp chcesz przeprowadzić inspekcję w polu Wprowadź nazwę obiektu do wybrania , a następnie wybierz przycisk OK.
    • Na liście nazw kliknij dwukrotnie użytkownika lub grupę, której dostęp chcesz przeprowadzić inspekcję.

  7. Zaznacz pole wyboru Powodzenie lub Niepowodzenie dla akcji, które chcesz przeprowadzić inspekcję, a następnie wybierz przycisk OK.

  8. Wybierz przycisk OK, a następnie wybierz przycisk OK.

Rozwiązywanie problemów

Rozmiar dziennika zabezpieczeń jest ograniczony. Ze względu na to ograniczenie firma Microsoft zaleca dokładne wybranie plików i folderów, które chcesz przeprowadzić inspekcję. Rozważ również ilość miejsca na dysku, który chcesz poświęcić dziennikowi zabezpieczeń. Maksymalny rozmiar jest definiowany w Podgląd zdarzeń.