域控制器存取

下面筆者將要針對每一位系統(tǒng)管理員最關心的域控制器（DC）的安全性審核管理，透過圖形接口的組策略管理接口，來統(tǒng)一管理有關目錄服務存?。―S 存取）的審核設定來作為范例說明。

首先請從“開始”“系統(tǒng)管理工具”選單中選擇開啟“組策略管理”接口，接下來如圖2所示展開至“樹系”“網域”“組策略對象”項目節(jié)點下，然后選擇“Default Domain Controllers Policy”項目，并且切換到“設定”的頁面中便可以看到有關于“本機原則/審核策略”的各項默認值。在此請針對此組策略對象項目，按下鼠標右鍵選擇“編輯”繼續(xù)。

注意：在預設的狀態(tài)下，只有預設的域控制器原則有啟用“審核目錄服務存取”設定，另一個預設的網域原則（Default Domain Policy）并沒有啟用此設定。此外有關于對象的刪除部分，除非有預先啟用目錄服務存取的子類別審核設定的啟用，否則有關于此對象的異動事件是不會出現(xiàn)在事件查看器中的。

然后，將會開啟“組策略編輯器”管理接口，請展開 至“計 算 機 設 定”“原則”“Windows設定”“安全性設定”“本機原則”項目節(jié)下的“審核策略”項目，在此我們可以依照實際需求，來決定對于每一個審核項目的成功與失敗事件進行內容設定。

筆者以開啟“審核目錄服務存取”內容頁面作為范例。成功審核會在使用者順利存取指定了SACL（System Access Control List） 的Active Directory對象時，產生一個審核登錄，失敗審核則在使用者存取指定了SACL的Active Directory對象失敗時，產生審核登錄。若要將此值設為“沒有審核”，請在此原則設定的“內容”對話框中，選取“定義這些原則設定值”復選框，再清除成功及失敗復選框。

注意：您可以對Active Directory對象設定SACL，方法是使用該對象內容對話框中的“安全性”索引卷標，這和本文后面所要提到的“審核對象存取”相同，不同的是，它只套用到指定的Active Directory對象上面，而不套用到指定的文件系統(tǒng)和登錄對象上。

接下來，我們要針對Active Directory下的對象“域控制器”計算機進行SACL的設定。請在從“開始系統(tǒng)管理工具”下開啟“Active Directory用戶和計算機”接口之后，先選擇在“檢視”下拉選單中的“進階功能”繼續(xù)，然后選擇切換到“Domain Controllers”容器上，按下鼠標右鍵來選擇開啟“內容”并且切換到“安全性”頁簽中選擇“進階”按鈕繼續(xù)。

開 啟 了“Domain Controllers”容器的進階安全性設定的頁面之后，切換到“審核”頁簽中，首先可以在此看到一些系統(tǒng)的默認項目設定，選擇“新增”按鈕繼續(xù)，然后將會開啟“選擇用戶、計算機或群組”的設定頁面，將系統(tǒng)內建的“Authenticated Users”群組加入即可，最后選擇“確定”。

接下來將會開啟如圖3所示的審核項目設定頁面，首先，確認已經在下拉菜單中選取了“此對象及所有子系對象”項目，然后將“存取”清單窗格中的“寫入全部內容”項目勾選之后選擇“確定”按鈕繼續(xù)。

完成上述所有設定之后，下面建議您去開啟域控制器計算機的內容頁面，然后修改一些字段設定試試看。在此，筆者已經預先在一個域控制器計算機內容中的描述字段中加入了一些中文敘述（預設這個字段是空白的），完成設定之后請開啟“系統(tǒng)管理工具”下拉菜單中的事件查看器界面。

在開啟了事件查看器接口之后，您可以在“Windows記錄安全性”項目節(jié)點上找到一筆最新的事件編號為5136的事件項目，開啟之后將可以看到此事件記錄的操作類型為新增的值，至于值的內容則是"高杰信公司主域控制器"的這一行文字敘述，在關鍵詞的字段中則顯示為審核成功。

下面筆者將要重新去變更此字段的內容敘述，然后再來看看在事件查看器中的審核事件記錄會產生什么樣的變化，首先將會先產生一個新的5136編號的審核事件，至于操作類型的值為刪除的值，而被刪除的值則為描述字段中的“高杰信公司主域控制器”。

如圖4所示您會發(fā)現(xiàn)在同一時間內，有另一筆編號為5136的事件產生，而它的操作類型則為新增的值，其值的內容則是"主域控制器"。如此看來，事實上筆者所做的異動作業(yè)中只有將此域控制器計算機的描述字段中的文字敘述，從"高杰信公司主域控制器"修改為"主域控制器"而已，便可以由這兩個事件項目中得知修改前后的差異點在哪里了。