活動目錄在WindowsServer2008中的改進：審核策略

在Windows Server 2008中，你現(xiàn)在能夠建立AD DS審核通過使用新的審核策略的子類（目錄服務變化）來記錄新舊屬性值，當活動目錄對象及它們的屬性發(fā)生變化時。
    審核策略的變化也同樣可以應用到活動目錄輕量目錄服務（Active Directory Lightweight Directory Services 以下簡稱AD LDS）
    AD DS審核能干什么？
    全局審核策略審核對目錄服務的訪問控制，無論針對目錄服務事件的審核是被啟用或被禁用。這個安全設定決定了當確定的操作被應用到目錄對象時事件將被記錄到安全日志中。你能控制什么樣的操作被審核通過修改一個對象上的系統(tǒng)訪問控制列表（SACL）。在Windows Server 2008中這項策略默認被啟用。
    你能夠定義本策略設定（通過修改默認域控制器安全策略），你能夠指定審核成功的事件，失敗的事件，或者什么也不審核。你能夠在AD DS對象的屬性對話框中的安全選項卡中設置系統(tǒng)訪問控制列表。針對目錄服務的審核也同樣如此。但只適用與AD DS對象上而不是文件對象或注冊表對象。
    現(xiàn)存的功能發(fā)生了什么變化？
    Windows Server 2008增加了AD DS審核策略對某一屬性新老值的記錄，當一個成功的屬性變化時間發(fā)生時。先前AD DS的審核策略只記錄發(fā)生變化的屬性名稱，而不記錄以前及現(xiàn)在的屬性值。
    審核AD DS訪問
    在Windows 2000 Server和Windows Server 2003中只有一種審核策略（目錄服務訪問審核）, 用來控制審核目錄服務事件是被啟用或者禁用。在Windows Server 2008，本策略被劃分成四個子類：
    目錄服務訪問（Directory Service Access）
    目錄服務變化（Directory Service Changes）
    目錄服務復制（Directory Service Replication）
    詳細的目錄服務復制（Detailed Directory Service Replication）
    正因為新的審核子類（目錄服務變化）因此AD DS對象屬性的變化才能被審核。你能夠?qū)徍说淖兓愋陀袆?chuàng)建，修改，移動以及反刪除。這些事件將被記錄在安全日志中。
    在AD DS中新的審核策略子類（目錄服務變化）增加了以下的功能：
    當對對像的屬性修改成功時，AD DS會紀錄先前的屬性值以及現(xiàn)在的屬性值。如果屬性含有一個以上的值時，只有作為修改操作結果變化的值才會被記錄。
    如果新的對像被創(chuàng)建，屬性被賦予的時間將會被記錄，屬性值也會被記錄，在多數(shù)情景中，AD DS分配缺省屬性給諸如sAMAccountName等系統(tǒng)屬性，這些系統(tǒng)屬性值將不被記錄。
    如果一個對像被移動到同一個域中，那么先前的以及新的位置（以distinguished name [比如cn=anna,ou=test,dc=contoso,dc=com]形式）將被記錄。當對象被移動到不同域時，一個創(chuàng)建事件將會在目標域的域控制器上生成。
    如果一個對象被反刪除，那么這個對象被移動到的位置將會被記錄。另外如果在反刪除操作中屬性被增加，修改或者刪除，那么這些屬性的值也會被記錄。
    注意：如果一個對象被刪除，將不產(chǎn)生任何審核事件。然而，如果啟用了Directory Service Access審核子類，那么審核事件將被創(chuàng)建。
    當Directory Service Changes啟用以后，AD DS會在安全日志中記錄事件當對象屬相的變化滿足管理員指定的審核條件。下面的這張表格描述了這些事件。
    事件號 事件類型
    事件描述
    5136 修改 這個事件產(chǎn)生于成功的修改目錄對象屬性
    5137 創(chuàng)建 這個事件產(chǎn)生于新的目錄對象被創(chuàng)建
    5138 反刪除 這個事件產(chǎn)生于目錄對象被反刪除時
    5139 移動 這個事件產(chǎn)生于對象在同一域內(nèi)移動時
    建立審核策略的步驟
    這部分將包括以下這兩個步驟：
    步驟一：啟用審核策略
    步驟二：使用活動目錄用戶與計算機來說明如何通過對象的SACL來啟用對象審核。
    步驟一：啟用審核策略
    本步驟包含了使用圖形界面及命令行來啟用審核。
    默認情況下組策略管理并沒有安裝，你可以通過服務器管理里的添加部件（Add Features）進行安裝。 通過使用命令行工具Auditpol，你能啟用獨立的子項目。
    通過圖形界面啟用全局審核策略
    1. 單擊開始按鈕，指向管理工具，再指向組策略管理。
    2. 在控制臺樹，雙擊林名稱，雙擊域，雙擊你的域名稱，雙擊域控制器，右鍵單擊默認域控制器策略然后點擊編輯。
    3. 在計算機配置下，雙擊Windows設置，雙擊安全設置，雙擊本地策略，再雙擊審核策略
    4. 在審核策略中，右鍵單擊審核目錄服務訪問，然后點擊屬性
    5. 選擇定義這些這些策略的復選框
    6. 選擇成功復選框，單擊確定
    使用命令行工具Auditpol啟用審核策略
    1. 單擊開始按鈕，右鍵單擊命令提示符，再單擊以管理員運行
    2. 輸入以下命令并回車
    auditpol /set /subcategory:"directory service changes" /success:enable
    步驟二：在對象SACL列表中創(chuàng)建審核策
    1. 單擊開始按鈕，指向管理工具，再單擊活動目錄用戶與計算機
    2. 右鍵單擊你想啟用審核組織單位（OU）或者其它對象，再單價屬性
    3. 單價安全選項卡，單擊高級，再單擊審核選項卡
    4. 單擊添加，在輸入對象名稱進行選擇對話框中，輸入Authenticated Users（或者其它安全主體），然后單擊確定。
    5. 在應用到下拉框中選擇子用戶對象（Descendant User objects）或者其它對象
    6. 在“訪問”中勾選“寫入所有屬性”的成功復選框
    7. 單擊確定，直到對象的屬性頁完全關閉。