Всем хабровчанам трям!
Когда нужно включить и настроить аудит Active Directory, незаменимым являются всякого рода quick tips, предпочтительно собранные в одном месте. Такое место сейчас и постараемся здесь создать. Сразу оговорюсь и скажу, что материалы поста (одностраничный pdf документ) можно будет скачать и в дальнешем использовать.
Итак, собственно переходим к сабжу.
Изначально небольшой чеклист, показывающий, все ли мы сделали.
![](https://habrastorage.org/r/w1560/storage2/9ff/8dc/6cf/9ff8dc6cffbe66c3ecc1039f21dc050c.png)
Заходим в Group Policy Management Console и редактируем Default Domain Controllers Policy.
Далее:
Computer Configuration > Policies > Security Settings > Local Policies > Audit Policy > Audit Account Management > Define > Success > Audit directory services access > Define > Success > Computer Configuration > Policies > Security Settings > Local Policies > User Rights Assignment > Manage auditing and secutiry log > Define > Add User/Group (Default = Administrator)
![](https://habrastorage.org/r/w1560/storage2/85b/c1d/0bb/85bc1d0bb0d99bc5ca41dbd38b8ea0ab.png)
Запустите ADSIEdit из Administrator Tools > Контекстное меню Domain > Properties > Вкладка Secutiry > Кнопка Advanced > Вкладка Auditing > Выбрать «Everyone» > Кнопка Edit > Убедитесь, что следующие пункты отключены:
— Full Control, List Contents, Read all properties, Read permissions
> Выберите «Apply these auditing entries to objects and/or containers within this container only» > ОК > OK > OK
![](https://habrastorage.org/r/w1560/storage2/07b/cb4/fae/07bcb4fae66f35cafb046f89a97763a8.png)
Следующие действия осуществляются через Group Policy Management Console (редактируем Default Domain Controllers Policy).
> Computer configuration > Policies > Security Settings > Local Policies > Event Log > Maximum security log size > Define > 130048 > OK
> Retain security log > Define > 14* > OK
> Retention method for security log > Define > Overwrite events as needed
_____________________________
* Проверьте доступное дисковое пространство
![](https://habrastorage.org/r/w1560/storage2/f4b/97b/9be/f4b97b9be7194b706f26d5a320d71c12.png)
И в заключение небольшая таблица с кодами возможных событий
![](https://habrastorage.org/r/w1560/storage2/8aa/f52/b9b/8aaf52b9bbd97f7d49407394719a9c27.png)
Все, что написано выше, можно скачать в виде красивого PDF по ссылке. И при необходимости к нему обращаться. Скачивайте, пользуйтесь.
Когда нужно включить и настроить аудит Active Directory, незаменимым являются всякого рода quick tips, предпочтительно собранные в одном месте. Такое место сейчас и постараемся здесь создать. Сразу оговорюсь и скажу, что материалы поста (одностраничный pdf документ) можно будет скачать и в дальнешем использовать.
Итак, собственно переходим к сабжу.
Изначально небольшой чеклист, показывающий, все ли мы сделали.
![](https://habrastorage.org/storage2/9ff/8dc/6cf/9ff8dc6cffbe66c3ecc1039f21dc050c.png)
How-to#1: Настраиваем политику аудита
Заходим в Group Policy Management Console и редактируем Default Domain Controllers Policy.
Далее:
Computer Configuration > Policies > Security Settings > Local Policies > Audit Policy > Audit Account Management > Define > Success > Audit directory services access > Define > Success > Computer Configuration > Policies > Security Settings > Local Policies > User Rights Assignment > Manage auditing and secutiry log > Define > Add User/Group (Default = Administrator)
![](https://habrastorage.org/storage2/85b/c1d/0bb/85bc1d0bb0d99bc5ca41dbd38b8ea0ab.png)
How-to#2: Аудит объектов AD
Запустите ADSIEdit из Administrator Tools > Контекстное меню Domain > Properties > Вкладка Secutiry > Кнопка Advanced > Вкладка Auditing > Выбрать «Everyone» > Кнопка Edit > Убедитесь, что следующие пункты отключены:
— Full Control, List Contents, Read all properties, Read permissions
> Выберите «Apply these auditing entries to objects and/or containers within this container only» > ОК > OK > OK
![](https://habrastorage.org/storage2/07b/cb4/fae/07bcb4fae66f35cafb046f89a97763a8.png)
How-to#3: Настройка Secutiry Event Log
Следующие действия осуществляются через Group Policy Management Console (редактируем Default Domain Controllers Policy).
> Computer configuration > Policies > Security Settings > Local Policies > Event Log > Maximum security log size > Define > 130048 > OK
> Retain security log > Define > 14* > OK
> Retention method for security log > Define > Overwrite events as needed
_____________________________
* Проверьте доступное дисковое пространство
![](https://habrastorage.org/storage2/f4b/97b/9be/f4b97b9be7194b706f26d5a320d71c12.png)
И в заключение небольшая таблица с кодами возможных событий
![](https://habrastorage.org/storage2/8aa/f52/b9b/8aaf52b9bbd97f7d49407394719a9c27.png)
Все, что написано выше, можно скачать в виде красивого PDF по ссылке. И при необходимости к нему обращаться. Скачивайте, пользуйтесь.