Аудит изменений вносимых в объекты Active Directory

Важной новой функцией в Active Directory, которую можно активизировать в домене с функциональным уровнем Windows Server 2008 или Windows Server 2008 R2, является аудит изменений, вносимых в объекты Active Directory. Раньше было трудно опре­делять, когда были внесены те или иные изменения, и журналов для ведения учета специ­ально изменений в AD не предлагалось. В Windows Server 2008 RTM/R2 администраторы теперь имеют возможность определять время изменения, перемещения и удаления объек­тов AD. Ниже описаны шаги, необходимые для включения функции ведения учета измене­ний в объектах AD на контроллере домена Windows Server 2008 RTM/R2.

1. На рядовом сервере или контроллере до­мена выберите в меню Start (Пуск) пункт All Programs^Administrative Tools^Group Policy Management (Все программы-Администрирование-Управление груп­повыми политиками).
2. Разверните последовательно узлы <имя_ леса>, Domains (Домены), <имя_домена>, Domain Controllers (Контроллеры до­мена), Default Domain Controllers Policy (Политика, используемая для контролле­ров доменов по умолчанию).
3. Щелкните на кнопке Edit (Редактировать).
   
4. В открывшемся окне редактора объ­ектов групповой политики раскрой­те ' последовательно папки Computer Configuration (Конфигурация компь­ютера), Policies (Политики), Windows Settings (Параметры Windows), Security Settings (Параметры безопасности), Local Policies (Локальные политики), Audit Policy (Политика аудита).
5. В папке Audit Policy (Политика аудита) щелкните правой кнопкой мыши на политике Audit Directory Service Access (Аудит доступа к службе каталогов) и в контекстном меню выберите пункт Properties (Свойства).
6. Отметьте флажок Define These Policy Settings (Определять эти параметры полити­ки), а затем флажок Success (Успех) и Failure (Отказ).
7. Щелкните на кнопке ОК, чтобы сохранить параметры.

После этого включится глобальное ведение аудита на всех контроллерах домена. Идентификаторы событий аудита будут отображаться в столбце Event ID (Идентификатор события) под номерами 5136, 5137, 5138, 5139 или 5141, в зависимости от того, какая опе­рация имела место — изменение, создание, отмена удаления, перемещение или удаление.