Windows Server 2008 R2之08 目录服务审核策略.docx

Windows Server 2008 R2之08_目录服务审核策略Windows Server 2008 R2之08_目录服务审核策略
相对于以前的操作系统Windows 2000 Server 和 Windows Server 2003 中,Windows Server 2008的目录服务策略分为四个子类别:
    目录服务访问(Directory Service Access)
    目录服务更改(Directory Service Changes)
    目录服务复制(Directory Service Replication)
    详细的目录服务复制(Detailed Directory Service Replication)
  可以审核的更改类型包括用户(或任何安全主体)创建、修改、移动和恢复对象。目录服务审核策略可以在事件中精确记录如下信息:修改前后的值、什么时候修改的、谁修改的、都修改了哪些对象。
   
实验环境
DC是一台DC,所有操作在这台DC上完成
   
操作步骤
    步骤一:启用审核策略。
    步骤二:通过使用“Active Directory 用户和计算机”在对象 SACL 中设置审核。为了便于操作,在操作之前先建立了一个组织单元hbycrsj_ou。
   
步骤一:启用审核策略
使用 Windows 界面启用全局审核策略的步骤
1、单击“开始”,指向“管理工具”,然后单击“组策略管理”。
2、在控制台树中,双击林的名称,双击“域”,双击您的域名,双击“域控制器”,右键单击“默认域控制器策略”,然后单击“编辑”。
3、在“计算机配置”下,依次双击“策略”、“Windows 设置”、“安全设置”、“本地策略”和“审核策略”。
4、在“审核策略”中右键单击“审核目录服务访问”,然后单击“属性”。
选中“定义这些策略设置”复选框。
在“审核这些操作”下,选中“成功”复选框,然后单击“确定”。
使用命令行启用更改审核策略的步骤
输入命令:auditpol /set /subcategory:"目录服务更改" /ess:enable启用更改审核策略
可以输入命令 auditpol /get /category:* /r 显示策略使用情况
    auditpol /set /subcategory:{0CCE923A-69AE-11D9-BED3-505054503030}
/ess:enable
注意:subcategory后面可以是目录服务策略字符,也可以是目录服务策略的GUID。如果在英文2008状态,目录服务策略字符必须是英文;在中文2008状态,目录服务策略字符必须是中文。否则会出现如下图错误
输入auditpol /get /subcategory:{0CCE923A-69AE-11D9-BED3-505054503030} 查看策