Я хочу настроить аудит, чтобы я мог видеть, вносятся ли какие-либо изменения в учетную запись службы (любые изменения) в AD, которая используется для запуска приложения резервного копирования.
Что мне нужно включить в управлении групповой политикой: аудит изменений службы каталогов или аудит управления учетными записями?
Вы можете включить функцию изменения службы каталогов, которая была представлена в Windows 2008. Это дает дополнительное преимущество, заключающееся в записи как текущего, так и предыдущего значений атрибута при изменении.
Предупреждение. Если вы настроите этот параметр в групповой политике, это будет отражено в новом разделе аудита как «Доступ к DS». Вам следует использовать либо новые настройки аудита, либо старую секцию аудита, но не то и другое одновременно. Когда используются настройки в новом разделе аудита, любые настройки в старом разделе можно игнорировать.
Новое место:
Конфигурация компьютера> Параметры Windows> Параметры безопасности> Конфигурация расширенной политики аудита
Старое местоположение:
Конфигурация компьютера> Параметры Windows> Параметры безопасности> Локальные политики> Политика аудита.
Это можно настроить с помощью команды auditpol.exe, однако, если этот метод используется, он должен выполняться как сценарий запуска компьютера, чтобы гарантировать, что настройки вступят в силу при перезагрузке компьютера. Это команда:
auditpol /set /subcategory:"directory service changes" /success:enable
Вам также необходимо включить аудит в AD Users and Computers:
Запустите Active Directory - пользователи и компьютеры.
Щелкните правой кнопкой мыши подразделение (OU) (или любой объект), для которого вы хотите включить аудит, а затем щелкните Свойства.
Щелкните вкладку Безопасность, щелкните Дополнительно, а затем щелкните вкладку Аудит.
Нажмите «Добавить» и в разделе «Введите имя объекта для выбора» введите «Прошедшие проверку» (или любой другой участник безопасности), а затем нажмите «ОК».
В разделе «Применить к» щелкните объекты «Потомки» (или любые другие объекты).
В разделе «Доступ» установите флажок «Успешно» для параметра «Записать все свойства».
Нажимайте ОК, пока не закроете страницу свойств для подразделения или другого объекта.
Больше информации:
Пошаговое руководство по аудиту AD DS
http://technet.microsoft.com/en-us/library/cc731607%28v=ws.10%29.aspx
Какие версии Windows поддерживают конфигурацию расширенной политики аудита?
http://technet.microsoft.com/en-us/library/dd692792(WS.10).aspx
«Использование как основных параметров политики аудита в разделе« Локальные политики \ Политика аудита », так и дополнительных параметров в разделе« Расширенная настройка политики аудита »может привести к неожиданным результатам. Таким образом, не следует объединять два набора параметров политики аудита. Если вы используете параметры конфигурации расширенной политики аудита, необходимо включить Аудит: Принудительные параметры подкатегории политики аудита (Windows Vista или более поздняя версия), чтобы переопределить параметр политики параметров категории политики аудита в разделе «Локальные политики \ Параметры безопасности». Это предотвратит конфликты между схожими настройками, заставив игнорировать базовый аудит безопасности ".
Аудит изменений службы каталогов доступен в Windows Server 2008 R2 и более поздних версиях. События, относящиеся к этой категории, включают дополнительные сведения, такие как Старое значение и Новое значение измененных свойств. Эта расширенная политика аудита относится к подкатегории DS Access.
Вы можете включить параметр расширенной политики аудита двумя следующими способами.
Перейти к узлу. Конфигурация компьютера-> Политики-> Настройки Windows-> Настройки безопасности-> Конфигурация расширенной политики аудита -> DS Access
2. Теперь редактируем Аудит изменений службы каталогов как успех
или вы можете сделать это аудитпол
Auditpol / set / subcategory: «Изменения службы каталогов» / успех: включить
Обратитесь к этой статье http://www.morgantechspace.com/2013/08/how-to-enable-active-directory-change.html
http://www.morgantechspace.com/2013/08/active-directory-change-audit-events.html
Заметка: вам нужно запустить команду gpupdate / force после выполнения вышеуказанных шагов.
И идентификаторы событий, которые вы должны отслеживать: 1) 4625 - учетная запись отключена 2) 4625 - учетная запись истекла 3) 4624, 4625 - логины 4) 4724 - пароль установлен 5) 4726 - учетная запись удалена 6) 4730, 4734, 4748, 4753, 4758 , 4763 - добавлен член группы (разные типы групп).