Вы можете включить функцию изменения службы каталогов, которая была представлена в Windows 2008. Это дает дополнительное преимущество, заключающееся в записи как текущего, так и предыдущего значения атрибута при изменении.
Предупреждение: если вы настроите этот параметр в групповой политике, это будет отражено в новом разделе аудита как «DS Access». Вам следует использовать либо новые настройки аудита, либо старую секцию аудита, но не то и другое вместе. Когда используются настройки в новом разделе аудита, любые настройки в старом разделе можно игнорировать.
Новое расположение:
Конфигурация компьютера> Параметры Windows> Параметры безопасности> Конфигурация расширенной политики аудита
Старое расположение:
Конфигурация компьютера> Параметры Windows> Параметры безопасности> Локальные политики> Политика аудита.
Это можно настроить с помощью команды auditpol.exe, однако, если этот метод используется, он должен выполняться как сценарий запуска компьютера, чтобы гарантировать, что настройки вступят в силу при перезагрузке компьютера. Это команда:
auditpol /set /subcategory:"directory service changes" /success:enable
Вам также необходимо включить аудит в AD Users and Computers:
Run Active Directory Users and Computers.
Щелкните правой кнопкой мыши организационное подразделение (OU) (или любой объект), для которого вы хотите включить аудит, а затем нажмите «Свойства».
Нажмите вкладку «Безопасность», нажмите «Дополнительно», а затем нажмите вкладку «Аудит».
Нажмите «Добавить» и в поле «Введите имя объекта для выбора» введите «Прошедшие проверку» (или любое другое) участника безопасности), а затем нажмите OK.
В разделе «Применить к» щелкните объекты дочерних пользователей (или любые другие объекты).
В разделе «Доступ» установите флажок «Успешно» для параметра «Записать все свойства». Принудительно настроить параметры подкатегории политики аудита (Windows Vista или более поздней версии), чтобы переопределить параметр политики параметров категории политики аудита в разделе Local Policies \ Security Options. Это предотвратит конфликты между аналогичными настройками, заставив игнорировать базовый аудит безопасности. "
И идентификаторы событий, которые вы должны отслеживать: 1) 4625 - аккаунт отключен 2) 4625 - Срок действия учетной записи истек 3) 4624, 4625 - Логины 4) 4724 - пароль установлен 5) 4726 - аккаунт удален 6) 4730, 4734, 4748, 4753, 4758, 4763 - добавлен член группы (разные типы групп).
Аудит изменений службы каталогов доступен в Windows Server 2008 R2 и более поздних версиях. События, относящиеся к этой категории, включают дополнительные сведения, такие как Старое значение и Новое значение измененных свойств. Эта расширенная политика аудита входит в подкатегорию DS Access.
Вы можете включить параметр расширенной политики аудита следующими двумя способами.
Перейдите к узлу. Конфигурация компьютера-> Политики-> Параметры Windows-> Параметры безопасности-> Конфигурация расширенной политики аудита -> Доступ к DS
2. Теперь отредактируйте Аудит изменений службы каталогов как успех
или вы это можно сделать с помощью auditpol
Auditpol / set / subcategory: «Изменения службы каталогов» / success: enable
См. эту статью http: // www.