译者语:上篇中我们主要了解了Windows Server 2008 AD DS的一个重要的新特性RODC,本篇会接着概览另外一个改进的新特性:活动目录域服务审核。
 
====================================================
为了能够更好地对组织中的活动目录域服务(以下简称为AD DS)进行管理,我们不但需要知道(活动目录中)哪些对象被修改了,还应该知道它们现在和以前的值。在老版本的AD DS中,只有一条单独的审核策略:对目录服务访问的审核。Windows Server 2008中新添加了目录服务审核的子类别。这个特性提供了更多关于AD DS中成功或失败的事件信息。在Windows Server 2008中,审核目录服务访问策略被分为了4个子类别:
■ 目录服务访问
■ 目录服务更改
■ 目录服务复制
■ 详细的目录服务复制
在Windows Server 2008中,全局审核策略默认是启用的。子类别之一的目录服务更改审核也是默认开启的(只对成功事件做记录)。你可以通过修改对象的系统访问控制列表 (SACL) 来控制审核哪些操作。此新策略子类别为 AD DS 中的审核添加了以下功能:
■ 成功修改对象的属性以后,AD DS会记录该属性以前的值和当前的值。如果属性有多个值,则仅记录修改操作更改的结果值。
■ 如果创建新对象,将记录创建对象时填充的属性值。如果在创建操作期间添加了属性,将记录这些新属性值。
■ 如果在域内移动对象,将记录前一位置和新位置(以可分辨名称形式)。将对象移动到其他域时,会在目标域的域控制器上生成一个创建事件。
■ 如果恢复一个对象,将记录对象被移动至的目标位置。此外,如果在恢复操作期间添加、修改或删除属性,也将记录这些属性的值。
 
备注:尽管全局审核策略:审核目录服务访问可以通过组策略管理单元(GPMC)来启用,但是在Windows Server 2008中仍然没有GUI(图形用户界面接口)可以用来浏览或者设置AD DS审核策略子类别。要浏览或设置审核策略子类别,请使用命令行工具Auditpol.exe。更多的关于如何使用Auditpol.exe设置单独的子类别,请参考第8章,“活动目录域服务安全”,除此之外还可以参考“Windows Server 2008 Auditing AD DS Changes Step-by-Step Guide”,http://technet2.microsoft.com/windowsserver2008/en/library/a9c25483-89e2-4202-881cea8e02b4b2a51033.mspx?mfr=true.
====================================================
 
本文译自《Windows Server 2008 Active Directory Resource Kit》
部分翻译内容参考与微软technet知识库:http://technet.microsoft.com/en-us/library/cc770946(WS.10).aspx