通过

审核 Windows Server 2003 中的 Active Directory 对象

本分步文章介绍如何使用 Windows Server 2003 审核来跟踪 Active Directory 中的用户活动和系统范围事件。

适用于: Windows Server 2003
原始 KB 数: 814595

总结

你可以使用 Windows Server 2003 审核来跟踪计算机上命名事件的用户活动和 Windows Server 2003 活动。 使用审核时,可以指定写入安全日志的事件。 例如,安全日志可以维护与创建、打开或删除文件或其他对象相关的有效和无效登录尝试和事件记录。 安全日志中的审核条目包含以下信息:

  • 已完成的操作。
  • 执行该操作的用户。
  • 事件的成功或失败,以及事件发生的时间。

审核策略设置定义 Windows Server 2003 在每台计算机上的安全日志中记录的事件类别。 通过安全日志可以跟踪指定的事件。

审核 Active Directory 事件时,Windows Server 2003 会将事件写入域控制器上的安全日志。 例如,用户尝试使用域用户帐户登录到域。 如果登录尝试失败,则事件记录在域控制器上,而不是记录在尝试登录尝试的计算机上。 发生此行为是因为它是尝试对登录尝试进行身份验证但无法执行此操作的域控制器。

使用事件查看器查看 Windows Server 2003 在安全日志中记录的事件。 还可以存档日志文件,以跟踪随时间推移的趋势。 例如,你想要确定使用打印机或文件,或验证是否使用了未经授权的资源。

若要启用 Active Directory 对象的审核,请执行以下操作:

  • 为域控制器配置审核策略设置。 配置审核策略设置时,可以审核对象,但不能指定要审核的对象。
  • 为特定的 Active Directory 对象配置审核。 指定要审核文件、文件夹、打印机和 Active Directory 对象的事件后,Windows Server 2003 会跟踪和记录这些事件。

为域控制器配置审核策略设置

默认情况下,审核处于关闭状态。 对于域控制器,将为域中的所有域控制器配置审核策略设置。 若要审核域控制器上发生的事件,请配置一个审核策略设置,该设置适用于域的非本地组策略对象(GPO)中的所有域控制器。 可以通过域控制器组织单位访问此策略设置。 若要审核对 Active Directory 对象的用户访问权限,请在审核策略设置中配置 Audit Directory 服务访问事件类别。

注意

  • 必须向要在其中配置审核策略设置或查看审核日志的计算机授予“管理审核和安全日志”用户权限。 默认情况下,Windows Server 2003 向 Administrators 组授予这些权限。
  • 要审核的文件和文件夹必须位于 Microsoft Windows NT 文件系统 (NTFS) 卷上。

若要为域控制器配置审核策略设置,请执行以下操作:

  1. 选择“启动>程序>管理工具”,然后选择Active Directory 用户和计算机。

  2. “视图 ”菜单上,选择“ 高级功能”。

  3. 右键单击 “域控制器”,然后选择“ 属性”。

  4. 选择“组策略”选项卡,选择“默认域控制器策略”,然后选择“编辑”。

  5. 选择“计算机配置”,双击“Windows 设置”,双击“安全设置”,双击“本地策略”,然后双击“审核策略”。

  6. 在右窗格中,右键单击“ 审核目录服务访问”,然后选择“ 属性”。

  7. 选择“ 定义这些策略设置”,然后选择以下一个或两个复选框:

    • 成功:选中此复选框可审核事件类别的成功尝试。
    • 失败:选中此复选框可审核事件类别的失败尝试。

  8. 右键单击要审核的任何其他事件类别,然后选择“ 属性”。

  9. 选择“确定”

  10. 仅当策略设置传播或应用于计算机时,对计算机的审核策略设置所做的更改才会生效。 完成以下步骤之一以启动策略传播:

    • 在命令提示符处键入 gpupdate /Target:computer ,然后按 Enter。
    • 等待定期可以配置的自动策略传播。 默认情况下,策略传播每五分钟发生一次。

  11. 打开安全日志以查看记录的事件。

    注意

    如果你是域或企业管理员,则可以远程为工作站、成员服务器和域控制器启用安全审核。

为特定 Active Directory 对象配置审核

配置审核策略设置后,可以通过指定访问权限类型和要审核的用户来配置特定对象的审核,例如用户、计算机、组织单位或组。 若要为特定的 Active Directory 对象配置审核,请执行以下操作:

  1. 选择“启动>程序>管理工具”,然后选择Active Directory 用户和计算机。

  2. 请确保在“视图”菜单上选择“高级功能”。

  3. 右键单击要审核的 Active Directory 对象,然后选择“ 属性”。

  4. 选择安全性选项卡,然后选择高级

  5. 选择“ 审核 ”选项卡,然后选择“ 添加”。

  6. 请执行以下一项操作:

    • 在“输入对象名称”中选择框中,键入要审核其访问权限的用户或组的名称,然后选择“确定”。
    • 在名称列表中,双击要审核其访问权限的用户或组。

  7. 选中要审核的操作的 “成功 ”或 “失败 ”复选框,然后选择“ 确定”。

  8. 选择“确定,然后选择“确定”。

疑难解答

安全日志的大小有限。 由于此限制,Microsoft建议仔细选择要审核的文件和文件夹。 另请考虑要投入到安全日志上的磁盘空间量。 最大大小在事件查看器中定义。