在对活动目录的管理中,如果对活动目录的管理不是非常严格,我们有时就会发现一些对象被非法删除,比如计算机对象等。但当我们需要去查找原因的时候,发现没有记录,那么怎么才能在日志中有记录保存下来,以便我们管理员可以尽快的找到原因呢?这就需要我们使用审计功能来实现了:

1. 运行dsa.msc工具并找到域控制器组织单元,右键单击,选择属性,切换到组策略的标签页,选择Default Domain Controller Policy并编辑。
2. 在计算机配置\Windows设置\安全设置\本地策略\审核策略\审核目录服务访问,请确保该项目设置为审核成功和失败。

image
3. 打开命令行窗口,运行gpupdate /force。
4. 运行rsop.msc确保计算机配置\Windows设置\安全设置\本地策略\审核策略\审核目录服务访问这个设置已经生效。
5. 退出组策略编辑器,然后在这个域控制器上安装Disk:\Support\Tools6(该工具可以从Windows 2003的安装光盘中)。然后运行adsiedit.msc工具,选择要监控的组织单元。
7. 选择组织单元,右键单击,选择属性,切换到安全标签页,点击高级,然后切换到审核标签,点击“添加”,输入Everyone并点击确定,在出来的窗口中做以下选择:
a. 应用于:本对象以及全部子对象
b. 在成功这个列,选择对象,如勾选:删除、删除子树目录、删除所有子对象等项目。

image
c. 然后点击确定。
8. 当再次发现计算机对象出现问题时(如计算机对象被自动删除)以后,查看域控制器上的安全日志。

文章如转载,请注明转载自:http://www.5iadmin.com/post/276.html