活動目錄在Windows Server 2008 中的改進：審核策略

　　在Windows Server 2008中，你現在能夠建立AD DS審核通過使用新的審核策略的子類（目錄服務變化）來記錄新舊屬性值，當活動目錄對象及它們的屬性發生變化時。

　　審核策略的變化也同樣可以應用到活動目錄輕量目錄服務（Active Directory Lightweight Directory Services 以下簡稱AD LDS）

　　AD DS審核能干什麼？

　　全局審核策略審核對目錄服務的訪問控制，無論針對目錄服務事件的審核是被啟用或被禁用。這個安全設定決定了當確定的操作被應用到目錄對象時事件將被記錄到安全日志中。你能控制什麼樣的操作被審核通過修改一個對象上的系統訪問控制列表（SACL）。在Windows Server 2008中這項策略默認被啟用。

　　你能夠定義本策略設定（通過修改默認域控制器安全策略），你能夠指定審核成功的事件，失敗的事件，或者什麼也不審核。你能夠在AD DS對象的屬性對話框中的安全選項卡中設置系統訪問控制列表。針對目錄服務的審核也同樣如此。但只適用與AD DS對象上而不是文件對象或注冊表對象。

　　現存的功能發生了什麼變化？

　　Windows Server 2008增加了AD DS審核策略對某一屬性新老值的記錄，當一個成功的屬性變化時間發生時。先前AD DS的審核策略只記錄發生變化的屬性名稱，而不記錄以前及現在的屬性值。

　　審核AD DS訪問

　　在Windows 2000 Server和Windows Server 2003中只有一種審核策略（目錄服務訪問審核）, 用來控制審核目錄服務事件是被啟用或者禁用。在Windows Server 2008，本策略被劃分成四個子類：

　　目錄服務訪問（Directory Service Access）

　　目錄服務變化（Directory Service Changes）

　　目錄服務復制（Directory Service Replication）

　　詳細的目錄服務復制（Detailed Directory Service Replication）

　　正因為新的審核子類（目錄服務變化）因此AD DS對象屬性的變化才能被審核。你能夠審核的變化類型有創建，修改，移動以及反刪除。這些事件將被記錄在安全日志中。

　　在AD DS中新的審核策略子類（目錄服務變化）增加了以下的功能：

　　當對對像的屬性修改成功時，AD DS會紀錄先前的屬性值以及現在的屬性值。如果屬性含有一個以上的值時，只有作為修改操作結果變化的值才會被記錄。

　　如果新的對像被創建，屬性被賦予的時間將會被記錄，屬性值也會被記錄，在多數情景中，AD DS分配缺省屬性給諸如sAMAccountName等系統屬性，這些系統屬性值將不被記錄。

　　如果一個對像被移動到同一個域中，那麼先前的以及新的位置（以distinguished name [比如cn=anna,ou=test,dc=contoso,dc=com]形式）將被記錄。當對象被移動到不同域時，一個創建事件將會在目標域的域控制器上生成。

　　如果一個對象被反刪除，那麼這個對象被移動到的位置將會被記錄。另外如果在反刪除操作中屬性被增加，修改或者刪除，那麼這些屬性的值也會被記錄。

　　注意：如果一個對象被刪除，將不產生任何審核事件。然而，如果啟用了Directory Service Access審核子類，那麼審核事件將被創建。

　　當Directory Service Changes啟用以後，AD DS會在安全日志中記錄事件當對象屬相的變化滿足管理員指定的審核條件。下面的這張表格描述了這些事件。

　　事件號 事件類型

　　事件描述

　　5136 修改 這個事件產生於成功的修改目錄對象屬性

　　5137 創建 這個事件產生於新的目錄對象被創建

　　5138 反刪除 這個事件產生於目錄對象被反刪除時

　　5139 移動 這個事件產生於對象在同一域內移動時

　　建立審核策略的步驟

　　這部分將包括以下這兩個步驟：

　　步驟一：啟用審核策略

　　步驟二：使用活動目錄用戶與計算機來說明如何通過對象的SACL來啟用對象審核。

　　步驟一：啟用審核策略

　　本步驟包含了使用圖形界面及命令行來啟用審核。

　　默認情況下組策略管理並沒有安裝，你可以通過服務器管理裡的添加部件（Add Features）進行安裝。 通過使用命令行工具Auditpol，你能啟用獨立的子項目。

　　通過圖形界面啟用全局審核策略

　　1. 單擊開始按鈕，指向管理工具，再指向組策略管理。

　　2. 在控制台樹，雙擊林名稱，雙擊域，雙擊你的域名稱，雙擊域控制器，右鍵單擊默認域控制器策略然後點擊編輯。

　　3. 在計算機配置下，雙擊Windows設置，雙擊安全設置，雙擊本地策略，再雙擊審核策略

　　4. 在審核策略中，右鍵單擊審核目錄服務訪問，然後點擊屬性

　　5. 選擇定義這些這些策略的復選框

　　6. 選擇成功復選框，單擊確定

　　使用命令行工具Auditpol啟用審核策略

　　1. 單擊開始按鈕，右鍵單擊命令提示符，再單擊以管理員運行

　　2. 輸入以下命令並回車

auditpol /set /subcategory:"directory service changes" /success:enable

　　步驟二：在對象SACL列表中創建審核策
　　1. 單擊開始按鈕，指向管理工具，再單擊活動目錄用戶與計算機
　　2. 右鍵單擊你想啟用審核組織單位（OU）或者其它對象，再單價屬性
　　3. 單價安全選項卡，單擊高級，再單擊審核選項卡
　　4. 單擊添加，在輸入對象名稱進行選擇對話框中，輸入Authenticated Users（或者其它安全主體），然後單擊確定。
　　5. 在應用到下拉框中選擇子用戶對象（Descendant User objects）或者其它對象
　　6. 在“訪問”中勾選“寫入所有屬性”的成功復選框
　　7. 單擊確定，直到對象的屬性頁完全關閉。