我想设置审计,以便查看是否正在对用于运行备份应用程序的AD中的服务帐户(任何更改)进行更改。
我需要在组策略pipe理中启用:审核目录服务更改或审核帐户pipe理?
您可以启用Windows 2008中引入的“目录服务更改”function。此function还具有在修改发生时logging属性的当前值和先前值的额外好处。
警告:如果您在组策略中configuration此设置,则在新的审核部分中将其作为“DS访问”进行了介绍。 您应该使用新的审计设置或较旧的审计部分,但不能同时使用两者。 当使用新审计部分中的设置时,旧部分中的任何设置都可能被忽略。
新地点:
计算机configuration> Windows设置>安全设置>高级审核策略configuration
旧地点:
计算机configuration> Windows设置>安全设置>本地策略>审核策略。
可以使用auditpol.exe命令对其进行configuration,但是如果使用该方法,则应该将其作为计算机启动脚本执行,以确保设置在计算机重新启动时生效。 这是命令:
auditpol /set /subcategory:"directory service changes" /success:enable 您还需要在AD用户和计算机中启用审核:
运行Active Directory用户和计算机。
用鼠标右键单击要启用审核,组织单位(OU)(或任何对象),然后单击属性。
单击安全选项卡,单击高级,然后单击审核选项卡。
单击添加,然后在input对象名称来select,键入Authenticated用户(或任何其他安全主体),然后单击确定。
在应用于,单击后代用户对象(或任何其他对象)。
在访问下,select写入所有属性的成功checkbox。
单击确定,直到您退出OU或其他对象的属性表。
更多信息:
AD DS审核分步指南
http://technet.microsoft.com/en-us/library/cc731607%28v=ws.10%29.aspx
Windows支持哪些版本高级审核策略configuration?
http://technet.microsoft.com/en-us/library/dd692792(WS.10).aspx
“使用本地策略\审核策略下的基本审核策略设置以及高级审核策略configuration下的高级设置可能会导致意外的结果, 因此,这两组审核策略设置不应该组合在一起,如果您使用高级审核策略configuration设置,您应该在“本地策略\安全选项”下启用“审核:强制审核策略”子类别设置(Windows Vista或更高版本)以覆盖审核策略类别设置策略设置,这样可以避免忽略类似设置之间的冲突。
您应该监控的事件ID为:1)4625 – 帐户已禁用2)4625 – 帐户已过期3)4624,4625 – login4)4724 – 密码设置5)4726 – 帐户已删除6)4730,4734,4748,4753,4758 ,4763 – 小组成员join(不同types的小组)。
Windows Server 2008 R2及更高版本中提供了审核目录服务更改。此类别下的事件包括更改的属性的旧值和新值等额外的详细信息。此高级审核策略位于DS Access的子类别下。
您可以通过以下两种方式启用高级审核策略设置。
去节点。 计算机configuration – >策略 – > Windows设置 – >安全设置 – >高级审核策略configuration – > DS访问
2.现在编辑审核目录服务成功
或者你可以通过auditpol来做到这一点
Auditpol /设置/子类别:“目录服务更改”/成功:启用
请参阅这些文章http://www.morgantechspace.com/2013/08/how-to-enable-active-directory-change.html
http://www.morgantechspace.com/2013/08/active-directory-change-audit-events.html
注意 :完成上述步骤后,需要运行命令gpupdate / force 。