76、深入解析AD LDS访问审计与AD FS服务配置
深入解析AD LDS访问审计与AD FS服务配置
1. AD LDS访问审计
在Windows Server环境中,对AD LDS(Active Directory Lightweight Directory Service)实例进行访问审计是保障系统安全和合规性的重要措施。下面将详细介绍如何通过图形用户界面(GUI)和命令行界面(CLI)来启用AD LDS访问审计。
1.1 使用图形用户界面
若要使用图形用户界面启用AD LDS访问审计,可按以下步骤操作:
1. 打开与托管要审计的AD LDS实例的计算机关联的组策略对象(GPO)。
2. 在左窗格中,展开“本地策略”,然后单击“审核策略”。
3. 在右窗格中,双击“审核目录服务访问”。
4. 确保“定义这些策略设置”旁边的框已选中。
5. 选中“成功”和/或“失败”旁边的框。
6. 单击“确定”。
1.2 使用命令行界面
使用命令行界面启用审计,可执行以下命令:
auditpol \\<DomainControlerName> /enable /directory:all1.3 额外审计功能
Windows Server 2008还提供了对目录服务事件的额外审计功能,包括捕获对Active Directory对象的更改和删除操作的“前后”值。可以使用auditpol.exe工具启用此功能,示例语法如下:
Auditpol /set /subcat