通过为特定的事件类别定义审核设置,可以创建一个适合组织安全需要的审核策略。在加入域中的成员服务器和工作站上,默认情况下未定义事件类别的审核设置。默认情况下,域控制器上的审核是打开的。有关事件类别列表和详细信息,请参阅审核策略。
本地管理员是完成此过程所需的最低组成员身份。
 | 定义或修改本地计算机的事件类别的审核策略设置的步骤 |
打开“本地安全策略”管理单元,然后选择“本地策略”。
在控制台树中,单击“审核策略”。
位置?
-
“安全设置”/“本地策略”/“审核策略”
-
“安全设置”/“本地策略”/“审核策略”
在结果窗格中,双击您要为其更改审核策略设置的事件类别。
执行以下两种操作之一或全部,然后单击“确定”。
-
若要审核成功的尝试,则选择“成功”复选框。
-
若要审核未成功的尝试,则选择“失败”复选框。
-
若要审核成功的尝试,则选择“成功”复选框。
其他注意事项
-
若要打开“本地安全策略”管理单元,请单击“开始”,指向“管理工具”,然后单击“本地安全策略”。
域管理员是完成此过程所需的最低组成员身份。
| 定义或修改域或组织单位的事件类别的审核策略设置(当您位于加入到域中的成员服务器或工作站上时) |
如果未安装组策略管理控制台 (GPMC),则打开“服务器管理器”,并在“功能摘要”下,单击“添加功能”。选中“组策略管理”复选框,单击“下一步”,然后单击“安装”。
“安装结果”页显示 GPMC 的安装成功后,单击“关闭”。
单击“开始”,指向“管理工具”,然后单击“组策略管理”。
在控制台树中,双击包含要编辑的“默认域策略”组策略对象 (GPO) 的林和域中的“组策略对象”。
右键单击“默认域策略”GPO,然后单击“编辑”。
在 GPMC 中,依次转到“计算机配置”、“Windows 设置”、“安全设置”,然后单击“审核策略”。
在结果窗格中,双击您要为其更改审核策略设置的事件类别。
如果您首次定义该事件类别的审核策略设置,则选择“定义这些策略设置”复选框。
执行以下两种操作之一或全部,然后单击“确定”。
-
若要审核成功尝试,则选择“成功”复选框。
-
若要审核未成功的尝试,则选择“失败”复选框。
-
若要审核成功尝试,则选择“成功”复选框。
其他注意事项
-
若要从 Windows 界面打开 Microsoft 管理控制台,则单击“开始”,在“开始搜索”文本框中键入 mmc,然后按 Enter。
-
若要审核对象访问,则通过以上步骤启用对象访问事件类别的审核。然后,启用特定对象的审核。
-
配置了审核策略后,将在“安全”日志中记录事件。打开“安全”日志查看这些事件。
-
域控制器的默认审核策略设置为“无审核”。这意味着即使在域中启用了审核,域控制器也不会在本地继承审核策略。如果要将域审核策略应用到域控制器,必须修改此策略设置。
其他参考