Windoows 2008活动目录域服务:审计

Windows Server 2008中,管理员拥有更多选择,对活动目录对象进行审计。新的审计政策子种类范围(目录服务更改)审计活动目录对象的更改,如创建、修正、移动 以及恢复删除,并在变更完成后记录旧的和新的属性值。

注:审计目录服务访问同样适用于审计对象访问(Audit object access),但是审计目录服务访问只能用于AD DS对象,而不能用于文件系统对象,也不能用于注册对象 。

审计AD DS 路径

Windows 2000 Server 和 Windows Server 2003中,没有审计政策,审计目录服务访问控制目录服务事件审计是否可以用或设置为不能使用。Windows Server 2008中, 这一政策分为四类:

目录服访问

目录服务更改

目录服务复制

详细目录服务复制

全球审计政策审计目录服务访问控制目录服务事件的审计是否可以用或设置为不能使用。当对目录中的对象进行某些操作完成后,这一安全设置决定安全日志是否记录了 事件。管理员可以通过修改某一对象的系统访问控制列表(SACL)对审计进行何种操作。Windows Server 2008中,这一政策为默认执行。

如果(通过修改默认域控制器政策)定义这一政策设定,管理员可以指定是否审计成功、审计失败或不审计。当用户城东访问SACL指定的AD DS对象时,成功的审计可以 产生审计登陆。当用户未能尝试访问SACL指定的AD DS对象时,失败的审计可以产生审计登。在Windows 2000 Server 中 Windows Server 2003,审计事件出现在使用ID号码 为566的安全登陆中。在Windows Server 2008中,审计政策子种类目录服务访问同样产生相同的事件,但是事件ID号码变为4662。

审计AD DS更改

新的审计子种类目录服务变更可以对AD DS中的对象更改进行审计。这种可以审计的更改为:创建、修改、移动、恢复对对象的删除操作。由这些操作产生的事件将出现 在安全日志上,包括之前和现在的属性值。

新政策子种类增加了下列在AD DS中进行审计的能力:

当修改对象属性操作成功后,AD DS记录之前和现在的属性值。如果属性已经超过一个值,只有修改操作的结果会被作为属性值记录。

如果新的对象已经创建,在创建时已经固定属性值会被记录。如果属性在操作过程中增加,这些新的属性值也会被记录。多数情况下,AD DS为属性分配默认值(如: sAMAccountName)。系统属性值不会被记录。

如果对象在一个域中移动,之前和新的地点(以distinguished name的形式)将被记录。当对象移动到另一个域中,会在目标域的域控制器中记录创建事件。

如果对象进行了恢复删除,对象移动的地点会被记录。此外,如果在恢复删除操作中,增加、修改或删除属性,这些属性值将会被记录。

如果对象已经删除,则不能产生进行更改审计事件。但是,如果激活目录服务访问,则可以产生审计事件。

目录服务更改激活后,当管理员为审计设置的对象更改完成,AD DS记录安全事件日志中的事件。下表描述了这些事件。

全球审计政策

激活全球审计政策审计目录服务访问可以激活全部目录服务政策子种类。全球审计政策可以在默认域控制器组群政策(在安全设置\本地政策\审计政策下)中设置。在 Windows Server 2008中,全球审计政策默认激活。这一子种类仅仅为审计成功实践而设置。但是,两个审计子种类是相互独立的,管理员可以选择不激活目录服务访问 (Directory Service Access),仍然可以查看子种类目录服务更改激活产生的更改事件。

Windows 2000 Server 和 Windows Server 2003中,政策审计目录服务访问是活动目录唯一可以使用的审计控制。这一控制产生的事件不显示任何更改的旧的以及新的值 。拥有新审计政策子种类目录服务更改,目录的成功更改可以与之前和现在的属性值一起记录。认证对象属性如何更改的能力可以使事件记录作为发生在对象终身以及恢复 到原来属性值(如果需要)的更改追踪机制更有用。

时间: 2024-10-28 02:45:56

Windoows 2008活动目录域服务:审计的相关文章

Windows 2008活动目录域服务之审计

&http://www.aliyun.com/zixun/aggregation/37954.html">nbsp;   Windows Server 2008中,管理员拥有更多选择,对活动目录对象进行审计.新的审计政策子种类范围(目录服务更改)审计活动目录对象的更改,如创建.修正.移动以及恢复删除,并在变更完成后记录旧的和新的属性值. 注:审计目录服务访问同样适用于审计对象访问(Audit object access),但是审计目录服务访问只能用于AD DS对象,而不能用于文件系

Windows 2008活动目录域服务之联合服务

&http://www.aliyun.com/zixun/aggregation/37954.html">nbsp;   Active Directory Federation Services (AD FS)是Windows Server 2008中的服务器角色,提供高度可扩展性以及可以操作不同平台的安全认证访问解决方案.甚至当用户帐户以及应用位于不同的网络或企业时,AD FS提供网络内和网络外基于浏览的客户.受到保护的.面向因特网应用的路径. 在通常的场景中:应用位于一个网络中

Windows 2008 R2实战之六:活动目录域服务的卸载

活动目录域服务的卸载是将DC降级为独立服务器或成员服务器的过程. 在删除活动目录之前,为了防止操作失败操作http://www.aliyun.com/zixun/aggregation/6516.html">系统故障,须对系统进行备份.同时,我们还必须对待删除的域控制器进行如下检查 1.是否有操作主控: netdom query fsmo或通过在图形进行查看(具体方法参见Windows Server 2008 R2之五操作主控的管理) 2.是否为全局编录服务器,域中是否还有GC: dsqu

Windows Server 2008活动目录的安装和卸载

相对于Windows Server http://www.aliyun.com/zixun/aggregation/19058.html">2003, Windows Server 2008活动目录域服务(AD DS)进行很大的改进.主要表现在新增了只读域控制器(RODC)的域控制器类型.更新的活动目录域服务安装向导.可重启的活动目录域服务.快照查看以及增强的Ntdsutil命令等.由于这些改进,现在我们可以通过新的安装向导简化了部署过程并节省了部署时间:可以在物理安全无法得到保证的分支机

Windows Server 2003的活动目录联合服务(ADFS)

Windows Server 2003 R2最引人注目的新特点是活动目录联合服务 (ADFS). ADFS是一种能够用于一次会话过程中多个Web应用用户认证的新技术.在这篇文章中,我会解释ADFS的重要特点和ADFS的工作原理. 什么是ADFS? ADFS将活动目录拓展到Internet.要理解这一点,可以考虑一般活动目录设施的工作原理.当用户通过活动目录认证时,域控制器检查用户的证书.证明是合法用户后,用户就可以随意访问Windows网络的任何授权资源,而无需在每次访问不同服务器时重新认证.

活动目录域加入域权限委派

  活动目录域加入域权限委派 加入域的时候打算用委派的方式, 可是没有 找到 "将计算机加入域"这个任务,只有其他的比如添加用户,查看信息这些,常见任务里面没有.系统是win2003企业版sp1,用委派了权限的帐号和一般的users组的帐号加入域的时候提示拒绝访问,不知道什么原因. 回答:根据您的描述,我对这个问题的理解是:在域中委派控制权限时,未看到"将计算机加入域"权限.如果我的理解有误,请告诉我. 这可能是您在OU上委派控制,只有在域层级上委派控制,才能看到&

Windows Server 2008 Active Directory域服务的新增功能

Gil Kirkpatrick 是 NetPro 的 CTO,他自 1996 年起便一直参与开发 Active Directory 软件.他 与来自 HP 的 Guido Grillenmeier 一起创办了广受欢迎的 Active Directory 灾难恢复学习班.Gil 还 是目录专家会议(请转到 www.dec2008.com)的创始人. 概览: 将新的服务管 理器与 ADDS 结合使用 在 Server Core 上运行域服务 只读域控制器 更改密码.备份和审计 Microsoft 通

虚拟机中的活动目录--域控制器虚拟机克隆

书接前文,当我们看到活动目录针对虚拟化环境的增强,我们还能想到更多的应用虚拟机快照操控域控制器虚拟机的场景吗? 其实最有效的方法就是结合虚拟化的守护服务完成域控制器虚拟机的克隆,这样在很多地方都会发挥作用, 例如: 1. 在虚拟机环境下的域控制器环境灾难恢复 2. 新的域控制器环境的快速克隆部署 3. 域控制器环境的弹性部署 4. 快速建立开发测试的域控制器环境 - 让我们来通过一个测试完整的体验一下整个过程. 首先说明实现域控制器虚拟机的前提条件: 域中的域控制器PDC emulator FS

Windows 2008活动目录迁移步骤

活动目录(Active Directory)是面向Windows Standard Server.Windows Enterprise Server以及 Windows Datacenter Server的目录服务.(Active Directory不能运行http://www.aliyun.com/zixun/aggregation/32995.html">在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理.)Active