Windows Server 2008中,管理员拥有更多选择,对活动目录对象进行审计。新的审计政策子种类范围(目录服务更改)审计活动目录对象的更改,如创建、修正、移动 以及恢复删除,并在变更完成后记录旧的和新的属性值。
注:审计目录服务访问同样适用于审计对象访问(Audit object access),但是审计目录服务访问只能用于AD DS对象,而不能用于文件系统对象,也不能用于注册对象 。
审计AD DS 路径
Windows 2000 Server 和 Windows Server 2003中,没有审计政策,审计目录服务访问控制目录服务事件审计是否可以用或设置为不能使用。Windows Server 2008中, 这一政策分为四类:
目录服访问
目录服务更改
目录服务复制
详细目录服务复制
全球审计政策审计目录服务访问控制目录服务事件的审计是否可以用或设置为不能使用。当对目录中的对象进行某些操作完成后,这一安全设置决定安全日志是否记录了 事件。管理员可以通过修改某一对象的系统访问控制列表(SACL)对审计进行何种操作。Windows Server 2008中,这一政策为默认执行。
如果(通过修改默认域控制器政策)定义这一政策设定,管理员可以指定是否审计成功、审计失败或不审计。当用户城东访问SACL指定的AD DS对象时,成功的审计可以 产生审计登陆。当用户未能尝试访问SACL指定的AD DS对象时,失败的审计可以产生审计登。在Windows 2000 Server 中 Windows Server 2003,审计事件出现在使用ID号码 为566的安全登陆中。在Windows Server 2008中,审计政策子种类目录服务访问同样产生相同的事件,但是事件ID号码变为4662。
审计AD DS更改
新的审计子种类目录服务变更可以对AD DS中的对象更改进行审计。这种可以审计的更改为:创建、修改、移动、恢复对对象的删除操作。由这些操作产生的事件将出现 在安全日志上,包括之前和现在的属性值。
新政策子种类增加了下列在AD DS中进行审计的能力:
当修改对象属性操作成功后,AD DS记录之前和现在的属性值。如果属性已经超过一个值,只有修改操作的结果会被作为属性值记录。
如果新的对象已经创建,在创建时已经固定属性值会被记录。如果属性在操作过程中增加,这些新的属性值也会被记录。多数情况下,AD DS为属性分配默认值(如: sAMAccountName)。系统属性值不会被记录。
如果对象在一个域中移动,之前和新的地点(以distinguished name的形式)将被记录。当对象移动到另一个域中,会在目标域的域控制器中记录创建事件。
如果对象进行了恢复删除,对象移动的地点会被记录。此外,如果在恢复删除操作中,增加、修改或删除属性,这些属性值将会被记录。
如果对象已经删除,则不能产生进行更改审计事件。但是,如果激活目录服务访问,则可以产生审计事件。
目录服务更改激活后,当管理员为审计设置的对象更改完成,AD DS记录安全事件日志中的事件。下表描述了这些事件。
全球审计政策
激活全球审计政策审计目录服务访问可以激活全部目录服务政策子种类。全球审计政策可以在默认域控制器组群政策(在安全设置\本地政策\审计政策下)中设置。在 Windows Server 2008中,全球审计政策默认激活。这一子种类仅仅为审计成功实践而设置。但是,两个审计子种类是相互独立的,管理员可以选择不激活目录服务访问 (Directory Service Access),仍然可以查看子种类目录服务更改激活产生的更改事件。
Windows 2000 Server 和 Windows Server 2003中,政策审计目录服务访问是活动目录唯一可以使用的审计控制。这一控制产生的事件不显示任何更改的旧的以及新的值 。拥有新审计政策子种类目录服务更改,目录的成功更改可以与之前和现在的属性值一起记录。认证对象属性如何更改的能力可以使事件记录作为发生在对象终身以及恢复 到原来属性值(如果需要)的更改追踪机制更有用。