譯者語:上篇中我們主要了解了Windows Server 2008 AD DS的一個重要的新特性RODC,本篇會接着概覽另外一個改進的新特性:活動目錄域服務審覈。
====================================================
爲了能夠更好地對組織中的活動目錄域服務(以下簡稱爲AD DS)進行管理,我們不但需要知道(活動目錄中)哪些對象被修改了,還應該知道它們現在和以前的值。在老版本的AD DS中,只有一條單獨的審覈策略:對目錄服務訪問的審覈。Windows Server 2008中新添加了目錄服務審覈的子類別。這個特性提供了更多關於AD DS中成功或失敗的事件信息。在Windows Server 2008中,審覈目錄服務訪問策略被分爲了4個子類別:
■ 目錄服務訪問
■ 目錄服務更改
■ 目錄服務複製
■ 詳細的目錄服務複製
在Windows Server 2008中,全局審覈策略默認是啓用的。子類別之一的目錄服務更改審覈也是默認開啓的(只對成功事件做記錄)。你可以通過修改對象的系統訪問控制列表 (SACL) 來控制審覈哪些操作。此新策略子類別爲 AD DS 中的審覈添加了以下功能:
■ 成功修改對象的屬性以後,AD DS會記錄該屬性以前的值和當前的值。如果屬性有多個值,則僅記錄修改操作更改的結果值。
■ 如果創建新對象,將記錄創建對象時填充的屬性值。如果在創建操作期間添加了屬性,將記錄這些新屬性值。
■ 如果在域內移動對象,將記錄前一位置和新位置(以可分辨名稱形式)。將對象移動到其他域時,會在目標域的域控制器上生成一個創建事件。
■ 如果恢復一個對象,將記錄對象被移動至的目標位置。此外,如果在恢復操作期間添加、修改或刪除屬性,也將記錄這些屬性的值。
備註:儘管全局審覈策略:審覈目錄服務訪問可以通過組策略管理單元(GPMC)來啓用,但是在Windows Server 2008中仍然沒有GUI(圖形用戶界面接口)可以用來瀏覽或者設置AD DS審覈策略子類別。要瀏覽或設置審覈策略子類別,請使用命令行工具Auditpol.exe。更多的關於如何使用Auditpol.exe設置單獨的子類別,請參考第8章,“活動目錄域服務安全”,除此之外還可以參考“Windows Server 2008 Auditing AD DS Changes Step-by-Step Guide”,http://technet2.microsoft.com/windowsserver2008/en/library/a9c25483-89e2-4202-881cea8e02b4b2a51033.mspx?mfr=true.
====================================================
本文譯自《Windows Server 2008 Active Directory Resource Kit》
部分翻譯內容參考與微軟technet知識庫:http://technet.microsoft.com/en-us/library/cc770946(WS.10).aspx