Аудит изменений вносимых в объекты Active Directory
Важной новой функцией в Active Directory, которую можно активизировать в домене с функциональным уровнем Windows Server 2008 или Windows Server 2008 R2, является аудит изменений, вносимых в объекты Active Directory. Раньше было трудно определять, когда были внесены те или иные изменения, и журналов для ведения учета специально изменений в AD не предлагалось. В Windows Server 2008 RTM/R2 администраторы теперь имеют возможность определять время изменения, перемещения и удаления объектов AD. Ниже описаны шаги, необходимые для включения функции ведения учета изменений в объектах AD на контроллере домена Windows Server 2008 RTM/R2.
- На рядовом сервере или контроллере домена выберите в меню Start (Пуск) пункт All Programs^Administrative Tools^Group Policy Management (Все программы-Администрирование-Управление групповыми политиками).
- Разверните последовательно узлы <имя_ леса>, Domains (Домены), <имя_домена>, Domain Controllers (Контроллеры домена), Default Domain Controllers Policy (Политика, используемая для контроллеров доменов по умолчанию).
- Щелкните на кнопке Edit (Редактировать).
- В открывшемся окне редактора объектов групповой политики раскройте ' последовательно папки Computer Configuration (Конфигурация компьютера), Policies (Политики), Windows Settings (Параметры Windows), Security Settings (Параметры безопасности), Local Policies (Локальные политики), Audit Policy (Политика аудита).
- В папке Audit Policy (Политика аудита) щелкните правой кнопкой мыши на политике Audit Directory Service Access (Аудит доступа к службе каталогов) и в контекстном меню выберите пункт Properties (Свойства).
- Отметьте флажок Define These Policy Settings (Определять эти параметры политики), а затем флажок Success (Успех) и Failure (Отказ).
- Щелкните на кнопке ОК, чтобы сохранить параметры.
После этого включится глобальное ведение аудита на всех контроллерах домена. Идентификаторы событий аудита будут отображаться в столбце Event ID (Идентификатор события) под номерами 5136, 5137, 5138, 5139 или 5141, в зависимости от того, какая операция имела место — изменение, создание, отмена удаления, перемещение или удаление.