如何更改 Active DIrectory 审计事件最大值?

如何更改 Active DIrectory 审计事件最大值?

我们最近开始测试 ADAudit 工具并在 AD 中启用了一些新的审计功能。

我编写的自定义程序中有一个 LDAP 修改操作,用于更新 AD 中非常多的组成员身份(10,000+)。由于审计更改,它似乎已经开始失败。这是目录服务事件日志中的事件描述。

记录以下对象的审核事件时,目录服务已达到可在任何给定时间缓存在内存中的最大审核事件数。由于达到此限制,操作已中止。

可缓存的最大审计事件数:17000

有人知道如何更改此最大限制吗?我在任何地方都找不到有关它的信息。

答案1

如果与您的问题唯一相关的搜索结果是您刚刚询问的 Serverfault 问题,那么您就知道自己陷入了困境。

尝试一下:

HKLM\System\CurrentControlSet\services\NTDS\Parameters\Maximum Audit Queue Size

您必须创建该密钥,因为它很可能不存在。Microsoft 完全没有公开记录该密钥,因此很可能不支持。我知道目录服务检查该密钥是否存在的唯一原因是因为我运行了 Procmon 并重新启动了 AD DS 以查看它搜索了哪些注册表项。

我还没有测试过它,也没有像你一样疯狂的 Active Directory 来测试它,但我怀疑如果不联系 Microsoft 支持,你是否会得到更好的答案。

大部分的其他键似乎有 DWORDS,所以我将从那里开始。

lsass.exe 在 AD DS 启动期间使用该函数进行搜索RegQueryValueExA。遗憾的是,我看不到传递给该函数的参数,因此我无法确切地告诉您它需要什么类型的注册表项。您只能进行测试。

相关内容