AD审核策略.docx

审核帐户登录事件该安全设置确定是否审核在这台计算机用于验证帐户时，用户登录到其他计算机或者从其他计算机注销的每个实例。当在域控制器上对域用户帐户进行身份验证时，将产生帐户登录事件。该事件记录在域控制器的安全日志中。当在本地计算机上对本地用户进行身份验证时，将产生登录事件。该事件记录在本地安全日志中。不产生帐户注销事件。如果在域控制器上启用了帐户登录事件的成功审核，则将为该域控制器所验证的每位用户记录一个条目，即使用户实际登录的是加入到该域的工作站。审核登录事件在域控制器上将生成域帐户活动的帐户登录事件，在本地计算机上生成本地帐户活动的帐户登录事件。如果同时启用帐户登录和登录审核策略类别，那么使用域帐户的登录将在工作站或服务器上生成登录或注销事件，而且将在域控制器上生成一个帐户登录事件。此外，使用域帐户交互式登录到成员服务器或工作站将在域控制器上生成登录事件，因为在用户登录时检索到登录脚本和策略。审核帐户管理描述该安全设置确定是否审核计算机上的每一个帐户管理事件。帐户管理事件的例子包括： 创建、更改或删除用户帐户或组。 重命名、禁用或启用用户帐户。 设置或更改密码。 默认值：o 域控制器上的成功。 审核目录服务访问描述该安全设置确定是否审核用户访问那些指定自己的系统访问控制列表 (SACL) 的 Active Directory 对象的事件。默认情况下，在“默认域控制器组策略对象 (GPO)”中该值设置为无审核，并且在该值没有任何意义的工作站和服务器中，它保持未定义状态。注意，通过使用某个 Active Directory 对象“属性”对话框中的“安全”选项卡，可以设置该对象的 SACL。该操作与审核对象访问相同，只不过它仅应用于 Active Directory 对象而不是文件系统和注册表对象。默认值： 域控制器上的成功。 未定义成员计算机。 审核对象访问描述该安全设置确定是否审核用户访问某个对象的事件，例如文件、文件夹、注册表项、打印机等，它们都有自己特定的系统访问控制列表 (SACL)。要将该值设置为“无审核”，请在该策略设置的“属性”对话框中，选中“定义这些策略设置”复选框，然后取消选中“成功”和“失败”复选框。注意，在某个文件系统对象“属性”对话框中的“安全”选项卡上，可以设置该对象的 SACL。默认值：无审核。审核系统事件描述当用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件发生时，该安全设置确定是否予以审核。默认值： 域控制器上的成功。 成员服务器上无审核。 上周在客户那里遇到了一件很郁闷的事，AD中的几个重要帐户被莫名其妙的删除了，而且很不幸的是其中之一正是OCS2007以及MOSS2007的服务帐户。结果可想而知，由于即时消息系统以及内网外网门户协作平台全部瘫痪，IT部从早上就开始不断接到求助电话。面对突然发生的灾难，IT管理员针对不同的恢复级别以及服务中断时间可能会有N种恢复方法，这些包括：整个目录数据库的恢复、删除对象的恢复、OCS服务的恢复的以及MOSS的恢复等。但是今天博文的重点不是上面所说的修复过程，因为就事情本身这首先是一个管理问题而后才是一个技术问题，或者说如果没有完善的管理规章基础再好的技术也不能发挥他应有的作用。我们可以将整个事情简单的划分为4个步骤：事件发现-故障分析- 故障排除-日志审核。今天要介绍的就是其中的最后一步，如何通过日志查找引起此次故障的源头，看看是谁动了你的活动目录。配置活动目录审核在审核用户操作以前，我们首先需要在策略中开启审核设置，然后系统日志中才会记录相应的操作帐户管理作为审核对象，因为在AD审核中，我们需要记录的操作，如：创建帐户、删除帐户、禁用帐户、重设密码等都在这个范畴里。配置审核用户操作配置过对DC的审核后，我们可以对需要进行审核的帐户以及审核的操作进行设置首先打开AD用户和计算机，在查看中打开高级功能选项，在默认设置下是无法对审核进行设置的我要在域内配置审核，因此在ocstest.test上点击属性，在实际应用中，我们也可以对某个重要OU容器进行审核默认策略对Domain Users组进行审核，也就是审核所有用户的操作，为了方便演示我将系统审核项目删除，并且添加一条对于用户董君的审核记录在审核项目管理员还可以对审核的对象和属性进一步进行筛选，这样做的好处是可以降低DC的压力首先做一个删除用户的操作在日志的安全性日志中经过刷新出现如下新日志。打开这条日志，我们发现刚才的操作已经被审核日志记录下来了，通过日志我们可以知道，在2008年10月27日 中午13:47:09秒用户jun.dong 删除了用户fumin并且我们可以发现由于刚才的日志，现在系统只记录用户jun.dong的帐户管理操作了我们再对用户重设密码，看看日志是否记录审核日志依然完整无误的记录了我的操作除了帐户删改等操作，审核日志还记录了很多事件ID供管理员查找下面列举一些常见的也比较有用的事件ID帐户管理事件 624：用户帐户已创建。 627：用户密码已更改。 628：用户密码已设置。 630：用户帐户已删除。 631：全局组已创建。 632：成员已添加至全局组。 633：成员已从全局组删除。 634：全局组已删除。 635：已新建本地组。 636：成员已添加至本地组。 637：成员已从本地组删除。 638：本地组已删除。 639：本地组帐户已更改。 641：全局组帐户已更改。 642：用户帐户已更改。 643：域策略已修改。 644：用户帐户被自动锁定。 645：计算机帐户已创建。 646：计算机帐户已更改。 647：计算机帐户已删除。 648：禁用安全的本地安全组已创建。 649：禁用安全的本地安全组已更改。 650：成员已添加至禁用安全的本地安全组。 651：成员已从禁用安全的本地安全组删除。 652：禁用安全的本地组已删除。 653：禁用安全的全局组已创建。 654：禁用安全的全局组已更改。 655：成员已添加至禁用安全的全局组。 656：成员已从禁用安全的全局组删除。 657：禁用安全的全局组已删除。 658：启用安全的通用组已创建。 659：启用安全的通用组已更改。 660：成员已添加至启用安全的通用组。 661：成员已从启用安全的通用组删除。 662：启用安全的通用组已删除。 663：禁用安全的通用组已创建。 664：禁用安全的通用组已更改。 665：成员已添加至禁用安全的通用组。 666：成员已从禁用安全的通用组删除。 667：禁用安全的通用组已删除。 668：组类型已更改。 684：管理组成员的安全描述符已设置。登录事件ID 528：用户成功登录到计算机。 529：登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。 530：登录失败。试图在允许的时间外登录。 531：登录失败。试图使用禁用的帐户登录。 532：登录失败。试图使用已过期的帐户登录。 533：登录失败。不允许登录到指定计算机的用户试图登录。 534：登录失败。用户试图使用不允许的密码类型登录。 535：登录失败。指定帐户的密码已过期。 536：登录失败。Net Logon 服务没有启动。 537：登录失败。由于其他原因登录尝试失败。 538：用户的注销过程已完成。 539：登录失败。试图登录时，该帐户已锁定。 540：用户成功登录到网络。 541：本地计算机与列出的对等客户端身份（已建立安全关联）之间的主要模式 Internet 密钥交换 (IKE) 身份验证已完成，或者快速模式已建立了数据频道。 542：数据频道已终止。 543：主要模式已终止。筛选日志进行过上面的操作以后，我们已经对系统的审核进行了简单的设置，通过日志可以发现谁对活动目录做了什么操作，但是在