我想设置审核,以便我可以查看是否对用于运行备份应用程序的 AD 中的服务帐户(任何更改)进行了任何更改。
我需要在组策略管理中启用什么:审核目录服务更改,还是审核帐户管理?
答案1
您可以启用 Windows 2008 中引入的目录服务更改功能。这还有一个额外的好处,就是在发生修改时记录属性的当前值和以前的值。
警告:如果您在组策略中配置此设置,则新审核部分将涵盖此设置,即“DS 访问”。您应该使用新审核设置或旧审核部分,但不能同时使用两者。使用新审核部分中的设置时,旧部分中的任何设置都可能被忽略。
新位置:
计算机配置>Windows 设置>安全设置>高级审核策略配置
旧地址:
计算机配置>Windows 设置>安全设置>本地策略>审核策略。
可以使用 auditpol.exe 命令进行配置,但是如果使用该方法,则应将其作为计算机启动脚本执行,以确保设置在计算机重新启动时生效。这是命令:
auditpol /set /subcategory:"directory service changes" /success:enable
您还需要在 AD 用户和计算机中启用审核:
运行 Active Directory 用户和计算机。
右键单击要启用审核的组织单位 (OU)(或任何对象),然后单击“属性”。
单击“安全”选项卡,单击“高级”,然后单击“审核”选项卡。
单击“添加”,在“输入要选择的对象名称”下键入“经过身份验证的用户”(或任何其他安全主体),然后单击“确定”。
在“应用到”中,单击后代用户对象(或任何其他对象)。
在“Access”下,选中“写入所有属性”的“成功”复选框。
单击“确定”直至退出 OU 或其他对象的属性表。
更多信息:
AD DS 审核分步指南
http://technet.microsoft.com/en-us/library/cc731607%28v=ws.10%29.aspx
哪些版本的 Windows 支持高级审核策略配置?
http://technet.microsoft.com/en-us/library/dd692792(WS.10).aspx
“使用本地策略\审核策略下的基本审核策略设置和高级审核策略配置下的高级设置可能会导致意外结果。因此,两组审计策略设置不应该合并。如果您使用高级审核策略配置设置,则应启用“审核:强制审核策略子类别设置(Windows Vista 或更高版本)覆盖本地策略\安全选项下的审核策略类别设置。这将通过强制忽略基本安全审核来防止类似设置之间的冲突。”
答案2
您应该监视的事件 ID 是:1)4625 - 帐户已禁用 2)4625 - 帐户已过期 3)4624、4625 - 登录 4)4724 - 设置密码 5)4726 - 帐户已删除 6)4730、4734、4748、4753、4758、4763 - 添加组成员(不同类型的组)。
答案3
审核目录服务变更适用于 Windows Server 2008 R2 及更高版本。此类别下的事件包括以下额外详细信息:旧值和新价值已更改的属性。此高级审计策略属于 DS Access 子类别。
您可以通过以下两种方式启用高级审计策略设置。
前往节点。计算机配置->策略->Windows 设置->安全设置->高级审核策略配置->DS 访问
2.现在编辑审核目录服务变更成功
或者你可以这样做审计政策
Auditpol /set /subcategory:“目录服务更改”/success:enable
参考这些文章http://www.morgantechspace.com/2013/08/how-to-enable-active-directory-change.html
http://www.morgantechspace.com/2013/08/active-directory-change-audit-events.html
笔记:您需要运行命令gpupdate /force完成上述步骤后。