我正在为 PCI-DSS 做一些审计,特别是“审计目录服务访问”。这会创建大量的日志,主要基于以相同方式访问的几个特定的重复属性。
我已能够通过 TechNet 识别这些属性。我遇到的问题均未在 AD 用户和计算机的审核 UI 中显示。
我在想我可以在 adsiedit 中编辑架构设置并禁用继承吗?这似乎违反直觉,但应该可行。
答案1
您想要的是修改需要抑制审核的架构属性的 searchFlags 属性。
AD DS 审核分步指南
https://technet.microsoft.com/en-us/library/cc731607(v=ws.10).aspx
“架构
“为了避免生成过多事件的可能性,模式中有一个额外的控制,您可以使用它来为所审核的内容创建例外。
“例如,如果您想要查看由于用户对象上除少数属性修改之外的所有属性值发生了哪些变化,则可以在架构中为不想审核的属性设置一个标志。每个属性的 searchFlags 属性定义行为,例如是否对属性进行索引或复制到全局目录。searchFlags 属性有七个当前定义的位。
“如果为属性设置了位 8(从零开始的索引,值 256),则当对该属性进行修改时,AD DS 将不会记录更改事件。这适用于包含该属性的所有对象。”