WindowsServer2008活動(dòng)目錄審核新特性1

1、眾所周知，在 Windows Server 2000/2003就提供了審核策略，其中就有針對(duì)活動(dòng)目錄訪問的審核策略。在我們啟用了Directory Service Access這條審核策略并在活動(dòng)目錄對(duì)應(yīng)的容器上啟用了審核之后，我們對(duì)此容器下的對(duì)象做的操作將會(huì)被記錄在“EventViewer ”下的安全日志里面。通過審核我們可以很清楚的監(jiān)視活動(dòng)目錄發(fā)生的變化，保護(hù) 活動(dòng)目錄的安全性。在 Windows Server 2008中，活動(dòng)目錄的審核有了新的改進(jìn)，它把全局的DirectoryService Access審核策略劃分成了四個(gè)子類別，其中有一個(gè)新的審核策略子類別就是Directory Se

2、rvice Changes 。見下圖（1）:Audit Directory ServiceAccessDirectory Service AccessDirectory Service ChangesDirectory Service ReplicationDetailed Directory Service Replication圖（i）通過使用Directory Service Changes這個(gè)新的子類別，使得我們可以審核用戶（或者任 何安全主體）的創(chuàng)建，修改，移動(dòng)及恢復(fù)的行為。這個(gè)新的審核策略子類別使得我們?cè)趯?duì)活動(dòng)目錄域服務(wù)（ADDS ）的審核上有了新的能力：當(dāng)一個(gè)在一個(gè)屬性上進(jìn)行了一

3、個(gè)成功的修改操作，例如修改用戶所屬的部門,ADDS將會(huì)在日志中記錄下來部門這個(gè)屬性之前的值和當(dāng)前的值。如果是創(chuàng)建一個(gè)對(duì)象，在創(chuàng)建對(duì)象的過程當(dāng)中為用戶指定的屬性的值也將記 錄下來。例如創(chuàng)建了一個(gè)用戶，在創(chuàng)建的過程中指定了賬戶是禁用的，則賬 戶禁用這個(gè)屬性的值也將會(huì)被記錄。如果移動(dòng)一個(gè)對(duì)象，ADDS將在日志中記錄下來該對(duì)象之前的位置和之后的 位置。如果是跨域移動(dòng)的話，將會(huì)在目標(biāo)域的域控制器上產(chǎn)生一個(gè)對(duì)象創(chuàng)建 的事件。如果是恢復(fù)一個(gè)對(duì)象，此對(duì)象移動(dòng)到的位置將被記錄下來。例如恢復(fù)對(duì)象到一個(gè)特定的組織單位，則該組織單位的位置將在日志中記錄下來。針對(duì)以上的行為，ADDS將在日志中記錄不同的事件，如下圖（2）所示:圖（2）在這里我做一個(gè)總結(jié)：在Windows Server 2008中，您可以配置全局的Directory ServiceAccess審核策略，如果您啟用了全局Directory Service Access審核策略，也就等于啟用了所有的四個(gè)子類別審核。也可以在不啟用全局的Directory Service Access審核策略的情況下，單獨(dú)的啟用 Windows Server 2008特殊的Directory Service Access審核策略的子類別， 如 Directory Service Changes。子類別之間是互相獨(dú)立的，如Direc