我已经创建了用于审核详细目录服务复制的 GPO 并应用于 DC。但日志中没有事件,例如:4928(S, F):已建立 Active Directory 副本源命名上下文。
4929(S、F):已删除 Active Directory 副本源命名上下文。域 - 不含 Azure 的普通域。
感谢您的任何帮助。
创建 GPO 并检查其是否应用于 DC。
更新我在 auditpol 中看到:
DS 访问
目录服务访问成功和失败
目录服务更改成功和失败
目录服务复制无审计
详细目录服务复制无审计
答案1
基于域的 (gpmc.msc) 审核设置存储在相应 GPO 文件夹中 SYSVOL 中的 audit.csv 文件中
{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\Machine\Microsoft\Windows NT\Audit\audit.csv
然后将此 .csv 文件复制到以下位置(gpupdate /force)将审核设置应用于计算机
%systemroot%\security\audit\audit.csv
重要提示:如果“默认域策略”在 SYSVOL 文件夹中缺少 audit.csv 文件,则高级审核将无法工作
{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\Audit
即使通过 secpol.msc 本地设置的策略也不起作用!
要恢复 audit.csv 文件,只需编辑默认域策略并设置任何高级审核设置。这将在 SYSVOL 路径中重新创建 audit.csv 文件,您可以立即将更改恢复为默认域策略。
更多信息
安全设置审计:强制审计策略子类别设置(Windows Vista 或更高版本)覆盖审计策略类别设置不需要通过 GPO 进行设置,因为它在干净的操作系统上的 secpol.msc 中默认启用。
auditpol /清除
您可以通过此命令清除计算机上的所有配置选项。这不会从C:\Windows\安全\审核但审计将被禁用,你可以使用以下方式检查auditpol /获取/类别:*
下次gpupdate /force(如果是基于域的策略),审核将重新开启
位置
本地安全策略(gpedit.msc)
将其审计设置存储在
%systemroot%\system32\grouppolicy\machine\microsoft\windows nt\audit\audit.csv
然后将此 .csv 文件复制到以下位置(重新启动或每 16 小时一次),将审计设置应用于计算机
%systemroot%\security\audit\audit.csv
基于域的(gpmc.msc)
审计设置存储在相应 GPO 文件夹中 SYSVOL 中的 audit.csv 文件中
{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\Machine\Microsoft\Windows NT\Audit\audit.csv
然后将此 .csv 文件复制到以下位置(在 gpupdate /force 上),将审核设置应用于机器
%systemroot%\security\audit\audit.csv