活動(dòng)目錄在WindowsServer2008中的改進(jìn)：審核策略

在Windows Server 2008中，你現(xiàn)在能夠建立AD DS審核通過(guò)使用新的審核策略的子類(lèi)（目錄服務(wù)變化）來(lái)記錄新舊屬性值，當(dāng)活動(dòng)目錄對(duì)象及它們的屬性發(fā)生變化時(shí)。
    審核策略的變化也同樣可以應(yīng)用到活動(dòng)目錄輕量目錄服務(wù)（Active Directory Lightweight Directory Services 以下簡(jiǎn)稱(chēng)AD LDS）
    AD DS審核能干什么？
    全局審核策略審核對(duì)目錄服務(wù)的訪(fǎng)問(wèn)控制，無(wú)論針對(duì)目錄服務(wù)事件的審核是被啟用或被禁用。這個(gè)安全設(shè)定決定了當(dāng)確定的操作被應(yīng)用到目錄對(duì)象時(shí)事件將被記錄到安全日志中。你能控制什么樣的操作被審核通過(guò)修改一個(gè)對(duì)象上的系統(tǒng)訪(fǎng)問(wèn)控制列表（SACL）。在Windows Server 2008中這項(xiàng)策略默認(rèn)被啟用。
    你能夠定義本策略設(shè)定（通過(guò)修改默認(rèn)域控制器安全策略），你能夠指定審核成功的事件，失敗的事件，或者什么也不審核。你能夠在A(yíng)D DS對(duì)象的屬性對(duì)話(huà)框中的安全選項(xiàng)卡中設(shè)置系統(tǒng)訪(fǎng)問(wèn)控制列表。針對(duì)目錄服務(wù)的審核也同樣如此。但只適用與AD DS對(duì)象上而不是文件對(duì)象或注冊(cè)表對(duì)象。
    現(xiàn)存的功能發(fā)生了什么變化？
    Windows Server 2008增加了AD DS審核策略對(duì)某一屬性新老值的記錄，當(dāng)一個(gè)成功的屬性變化時(shí)間發(fā)生時(shí)。先前AD DS的審核策略只記錄發(fā)生變化的屬性名稱(chēng)，而不記錄以前及現(xiàn)在的屬性值。
    審核AD DS訪(fǎng)問(wèn)
    在Windows 2000 Server和Windows Server 2003中只有一種審核策略（目錄服務(wù)訪(fǎng)問(wèn)審核）, 用來(lái)控制審核目錄服務(wù)事件是被啟用或者禁用。在Windows Server 2008，本策略被劃分成四個(gè)子類(lèi)：
    目錄服務(wù)訪(fǎng)問(wèn)（Directory Service Access）
    目錄服務(wù)變化（Directory Service Changes）
    目錄服務(wù)復(fù)制（Directory Service Replication）
    詳細(xì)的目錄服務(wù)復(fù)制（Detailed Directory Service Replication）
    正因?yàn)樾碌膶徍俗宇?lèi)（目錄服務(wù)變化）因此AD DS對(duì)象屬性的變化才能被審核。你能夠?qū)徍说淖兓?lèi)型有創(chuàng)建，修改，移動(dòng)以及反刪除。這些事件將被記錄在安全日志中。
    在A(yíng)D DS中新的審核策略子類(lèi)（目錄服務(wù)變化）增加了以下的功能：
    當(dāng)對(duì)對(duì)像的屬性修改成功時(shí)，AD DS會(huì)紀(jì)錄先前的屬性值以及現(xiàn)在的屬性值。如果屬性含有一個(gè)以上的值時(shí)，只有作為修改操作結(jié)果變化的值才會(huì)被記錄。
    如果新的對(duì)像被創(chuàng)建，屬性被賦予的時(shí)間將會(huì)被記錄，屬性值也會(huì)被記錄，在多數(shù)情景中，AD DS分配缺省屬性給諸如sAMAccountName等系統(tǒng)屬性，這些系統(tǒng)屬性值將不被記錄。
    如果一個(gè)對(duì)像被移動(dòng)到同一個(gè)域中，那么先前的以及新的位置（以distinguished name [比如cn=anna,ou=test,dc=contoso,dc=com]形式）將被記錄。當(dāng)對(duì)象被移動(dòng)到不同域時(shí)，一個(gè)創(chuàng)建事件將會(huì)在目標(biāo)域的域控制器上生成。
    如果一個(gè)對(duì)象被反刪除，那么這個(gè)對(duì)象被移動(dòng)到的位置將會(huì)被記錄。另外如果在反刪除操作中屬性被增加，修改或者刪除，那么這些屬性的值也會(huì)被記錄。
    注意：如果一個(gè)對(duì)象被刪除，將不產(chǎn)生任何審核事件。然而，如果啟用了Directory Service Access審核子類(lèi)，那么審核事件將被創(chuàng)建。
    當(dāng)Directory Service Changes啟用以后，AD DS會(huì)在安全日志中記錄事件當(dāng)對(duì)象屬相的變化滿(mǎn)足管理員指定的審核條件。下面的這張表格描述了這些事件。
    事件號(hào) 事件類(lèi)型
    事件描述
    5136 修改 這個(gè)事件產(chǎn)生于成功的修改目錄對(duì)象屬性
    5137 創(chuàng)建 這個(gè)事件產(chǎn)生于新的目錄對(duì)象被創(chuàng)建
    5138 反刪除 這個(gè)事件產(chǎn)生于目錄對(duì)象被反刪除時(shí)
    5139 移動(dòng) 這個(gè)事件產(chǎn)生于對(duì)象在同一域內(nèi)移動(dòng)時(shí)
    建立審核策略的步驟
    這部分將包括以下這兩個(gè)步驟：
    步驟一：?jiǎn)⒂脤徍瞬呗?BR>    步驟二：使用活動(dòng)目錄用戶(hù)與計(jì)算機(jī)來(lái)說(shuō)明如何通過(guò)對(duì)象的SACL來(lái)啟用對(duì)象審核。
    步驟一：?jiǎn)⒂脤徍瞬呗?BR>    本步驟包含了使用圖形界面及命令行來(lái)啟用審核。
    默認(rèn)情況下組策略管理并沒(méi)有安裝，你可以通過(guò)服務(wù)器管理里的添加部件（Add Features）進(jìn)行安裝。 通過(guò)使用命令行工具Auditpol，你能啟用獨(dú)立的子項(xiàng)目。
    通過(guò)圖形界面啟用全局審核策略
    1. 單擊開(kāi)始按鈕，指向管理工具，再指向組策略管理。
    2. 在控制臺(tái)樹(shù)，雙擊林名稱(chēng)，雙擊域，雙擊你的域名稱(chēng)，雙擊域控制器，右鍵單擊默認(rèn)域控制器策略然后點(diǎn)擊編輯。
    3. 在計(jì)算機(jī)配置下，雙擊Windows設(shè)置，雙擊安全設(shè)置，雙擊本地策略，再雙擊審核策略
    4. 在審核策略中，右鍵單擊審核目錄服務(wù)訪(fǎng)問(wèn)，然后點(diǎn)擊屬性
    5. 選擇定義這些這些策略的復(fù)選框
    6. 選擇成功復(fù)選框，單擊確定
    使用命令行工具Auditpol啟用審核策略
    1. 單擊開(kāi)始按鈕，右鍵單擊命令提示符，再單擊以管理員運(yùn)行
    2. 輸入以下命令并回車(chē)
    auditpol /set /subcategory:"directory service changes" /success:enable
    步驟二：在對(duì)象SACL列表中創(chuàng)建審核策
    1. 單擊開(kāi)始按鈕，指向管理工具，再單擊活動(dòng)目錄用戶(hù)與計(jì)算機(jī)
    2. 右鍵單擊你想啟用審核組織單位（OU）或者其它對(duì)象，再單價(jià)屬性
    3. 單價(jià)安全選項(xiàng)卡，單擊高級(jí)，再單擊審核選項(xiàng)卡
    4. 單擊添加，在輸入對(duì)象名稱(chēng)進(jìn)行選擇對(duì)話(huà)框中，輸入Authenticated Users（或者其它安全主體），然后單擊確定。
    5. 在應(yīng)用到下拉框中選擇子用戶(hù)對(duì)象（Descendant User objects）或者其它對(duì)象
    6. 在“訪(fǎng)問(wèn)”中勾選“寫(xiě)入所有屬性”的成功復(fù)選框
    7. 單擊確定，直到對(duì)象的屬性頁(yè)完全關(guān)閉。