Поделиться через

Аудит объектов Active Directory в Windows Server 2003

В этой пошаговой статье описывается, как использовать аудит Windows Server 2003 для отслеживания действий пользователей и системных событий в Active Directory.

Область применения: Windows Server 2003
Исходный номер базы знаний: 814595

Итоги

Аудит Windows Server 2003 можно использовать для отслеживания действий пользователей и действий Windows Server 2003, именованных событиями на компьютере. При использовании аудита можно указать, какие события записываются в журнал безопасности. Например, журнал безопасности может хранить запись допустимых и недопустимых попыток входа в систему и событий, связанных с созданием, открытием или удалением файлов или других объектов. Запись аудита в журнале безопасности содержит следующие сведения:

  • Готовое действие.
  • Пользователь, который принял это действие.
  • Успех или сбой события, а также время возникновения события.

Параметр политики аудита определяет категории событий, которые windows Server 2003 регистрирует в журнале безопасности на каждом компьютере. Журнал безопасности позволяет отслеживать указанные события.

При аудите событий Active Directory Windows Server 2003 записывает событие в журнал безопасности на контроллере домена. Например, пользователь пытается войти в домен с помощью учетной записи пользователя домена. Если попытка входа не выполнена, событие записывается на контроллере домена, а не на компьютере, на котором была выполнена попытка входа. Это происходит потому, что это контроллер домена, который пытался выполнить проверку подлинности попытки входа, но не мог сделать это.

Используйте Просмотр событий для просмотра событий, входящих в журнал безопасности Windows Server 2003. Вы также можете архивировать файлы журналов для отслеживания тенденций с течением времени. Например, необходимо определить использование принтеров или файлов или проверить использование несанкционированных ресурсов.

Чтобы включить аудит объектов Active Directory, выполните приведенные действия.

  • Настройте параметр политики аудита для контроллера домена. При настройке параметра политики аудита можно выполнять аудит объектов, но не указать объект, который требуется выполнить аудит.
  • Настройте аудит для определенных объектов Active Directory. После указания событий для аудита файлов, папок, принтеров и объектов Active Directory Windows Server 2003 отслеживает и регистрирует эти события.

Настройка параметра политики аудита для контроллера домена

По умолчанию аудит отключен. Для контроллеров домена параметр политики аудита настраивается для всех контроллеров домена в домене. Чтобы выполнить аудит событий, происходящих на контроллерах домена, настройте параметр политики аудита, который применяется ко всем контроллерам домена в объекте групповой политики, отличном от локального объекта групповой политики (GPO) для домена. Этот параметр политики можно получить через подразделение контроллеров домена. Чтобы проверить доступ пользователей к объектам Active Directory, настройте категорию событий Audit Directory Service Access в параметре политики аудита.

Примечание.

  • Необходимо предоставить пользователю "Управление аудитом и безопасностью" права на компьютер, где необходимо настроить параметр политики аудита или просмотреть журнал аудита. По умолчанию Windows Server 2003 предоставляет эти права группе администраторов.
  • Файлы и папки, которые требуется проверить, должны находиться в томах файловой системы Microsoft Windows NT (NTFS).

Чтобы настроить параметр политики аудита для контроллера домена, выполните следующие действия.

  1. Выберите "Запуск>программ>администрирования" и выберите Пользователи и компьютеры Active Directory.

  2. В меню "Вид" выберите "Дополнительные функции".

  3. Щелкните правой кнопкой мыши контроллеры домена и выберите пункт "Свойства".

  4. Перейдите на вкладку "Групповая политика", выберите политику контроллера домена по умолчанию и нажмите кнопку "Изменить".

  5. Выберите "Конфигурация компьютера", дважды щелкните "Параметры Windows", дважды щелкните "Параметры безопасности", дважды щелкните "Локальные политики" и дважды щелкните "Политика аудита".

  6. В правой области щелкните правой кнопкой мыши "Аудит доступа к службам каталогов" и выберите "Свойства".

  7. Выберите " Определить эти параметры политики", а затем установите один или оба из следующих флажков:

    • Успех. Установите этот флажок для аудита успешных попыток для категории событий.
    • Сбой. Установите этот флажок для аудита неудачных попыток для категории событий.

  8. Щелкните правой кнопкой мыши любую другую категорию событий, которую требуется выполнить аудит, и выберите пункт "Свойства".

  9. Нажмите кнопку ОК.

  10. Изменения, внесенные в параметр политики аудита компьютера, вступили в силу только в том случае, если параметр политики распространяется или применяется к компьютеру. Выполните одно из следующих действий, чтобы инициировать распространение политики:

    • Введите gpupdate /Target:computer в командной строке и нажмите клавишу ВВОД.
    • Подождите автоматическое распространение политики, которое происходит через регулярные интервалы, которые можно настроить. По умолчанию распространение политик происходит каждые пять минут.

  11. Откройте журнал безопасности для просмотра зарегистрированных событий.

    Примечание.

    Если вы являетесь доменом или администратором предприятия, вы можете включить аудит безопасности для рабочих станций, серверов-членов и контроллеров домена удаленно.

Настройка аудита для определенных объектов Active Directory

После настройки параметра политики аудита можно настроить аудит для определенных объектов, таких как пользователи, компьютеры, подразделения или группы, указав как типы доступа, так и пользователей, доступ к которым требуется выполнить аудит. Чтобы настроить аудит для определенных объектов Active Directory, выполните указанные действия.

  1. Выберите "Запуск>программ>администрирования" и выберите Пользователи и компьютеры Active Directory.

  2. Убедитесь, что в меню "Вид" выберите дополнительные функции.

  3. Щелкните правой кнопкой мыши объект Active Directory, который требуется выполнить аудит, и выберите пункт "Свойства".

  4. Перейдите на вкладку "Безопасность " и нажмите кнопку "Дополнительно".

  5. Перейдите на вкладку "Аудит " и нажмите кнопку "Добавить".

  6. Выполните одно из следующих действий:

    • Введите имя пользователя или группы, доступ к которому требуется выполнить аудит в поле "Введите имя объекта" для выбора , а затем нажмите кнопку "ОК".
    • В списке имен дважды щелкните пользователя или группу, доступ к которой требуется выполнить аудит.

  7. Установите флажок "Успешно" или "Сбой" для действий, которые требуется выполнить аудит, и нажмите кнопку "ОК".

  8. Нажмите кнопку "ОК" и нажмите кнопку "ОК".

Устранение неполадок

Размер журнала безопасности ограничен. Из-за этого ограничения корпорация Майкрософт рекомендует тщательно выбирать файлы и папки, которые требуется выполнить аудит. Кроме того, рассмотрите объем дискового пространства, которое вы хотите выделить в журнале безопасности. Максимальный размер определяется в Просмотр событий.