活动目录域服务审核（Active Directory Domain Services Auditing）

续接上篇： PartI WindowsServer2008活动目录概览。

译者语：上篇中我们主要了解了Windows Server 2008 AD DS的一个重要的新特性RODC，本篇会接着概览另外一个改进的新特性：活动目录域服务审核。

 

====================================================

为了能够更好地对组织中的活动目录域服务（以下简称为AD DS）进行管理，我们不但需要知道（活动目录中）哪些对象被修改了，还应该知道它们现在和以前的值。在老版本的AD DS中，只有一条单独的审核策略：对目录服务访问的审核。Windows Server 2008中新添加了目录服务审核的子类别。这个特性提供了更多关于AD DS中成功或失败的事件信息。在Windows Server 2008中，审核目录服务访问策略被分为了4个子类别：

■ 目录服务访问

■ 目录服务更改

■ 目录服务复制

■ 详细的目录服务复制

在Windows Server 2008中，全局审核策略默认是启用的。子类别之一的目录服务更改审核也是默认开启的（只对成功事件做记录）。你可以通过修改对象的系统访问控制列表 (SACL) 来控制审核哪些操作。此新策略子类别为 AD DS 中的审核添加了以下功能：

■ 成功修改对象的属性以后，AD DS会记录该属性以前的值和当前的值。如果属性有多个值，则仅记录修改操作更改的结果值。

■ 如果创建新对象，将记录创建对象时填充的属性值。如果在创建操作期间添加了属性，将记录这些新属性值。

■ 如果在域内移动对象，将记录前一位置和新位置（以可分辨名称形式）。将对象移动到其他域时，会在目标域的域控制器上生成一个创建事件。

■ 如果恢复一个对象，将记录对象被移动至的目标位置。此外，如果在恢复操作期间添加、修改或删除属性，也将记录这些属性的值。

 

备注：尽管全局审核策略：审核目录服务访问可以通过组策略管理单元（GPMC）来启用，但是在Windows Server 2008中仍然没有GUI（图形用户界面接口）可以用来浏览或者设置AD DS审核策略子类别。要浏览或设置审核策略子类别，请使用命令行工具Auditpol.exe。更多的关于如何使用Auditpol.exe设置单独的子类别，请参考第8章，“活动目录域服务安全”，除此之外还可以参考“Windows Server 2008 Auditing AD DS Changes Step-by-Step Guide”， http://technet2.microsoft.com/windowsserver2008/en/library/a9c25483-89e2-4202-881cea8e02b4b2a51033.mspx?mfr=true.

====================================================

 

本文译自《Windows Server 2008 Active Directory Resource Kit》

部分翻译内容参考与微软technet知识库：http://technet.microsoft.com/en-us/library/cc770946(WS.10).aspx