如何审核 Active Directory 用户账户更改？ _Active

作为在IT环境中管理安全性和合规性的一部分，审核和跟踪AD域用户帐户中发生的所有变动至关重要。用户帐户中有一些重要的变动，您必须考虑审核与用户帐户相关的所有AD域事件，以识别和防止潜在的安全威胁。其中一些事件是创建新用户帐户、删除用户帐户、启用/禁用用户帐户、用户帐户权限更改等。通过持续监控对Active Directory中的用户帐户所做的更改（其中一些可能未经授权或疏忽），您可以在未来克服潜在的AD域安全漏洞。

文章插图
安全漏洞
使用本机 Active Directory 审计工具
首先使用下面提到的步骤启用“用户账户管理”审计策略。
①转到“管理工具”
②从主“域控制器”，打开“组策略管理”控制台
③创建新GPO或编辑现有 GPO 。建议创建一个新的 GPO，将其链接到域并进行编辑。
④在左侧面板中，通过右键单击域名创建一个新的GPO 。
⑤单击“在此域中创建 GPO，并在此处链接” 。
⑥在屏幕上显示的“新建 GPO”窗口中，给一个名称（例如：管理用户帐户），然后单击“确定” 。
⑦右键单击出现在左窗格中的新GPO，单击上下文菜单中的“编辑” 。
⑧然后将在屏幕上显示“组策略管理编辑器” 。
⑨转到“计算机配置”?“windows设置”?“安全设置”?“高级审计策略配置”?“审计策略”设置“审计用户帐户管理”策略。
⑩选择“帐户管理”策略，该策略将显示其所有子策略。
?双击“审核用户账户管理”策略以打开其“属性”窗口。
注意：在“高级审核策略配置”而不是“本地策略”中配置上述策略，因为需要在“本地策略”中启用所有帐户管理策略会产生大量的事件日志。
?Active Directory 审核策略账户管理
【如何审核 Active Directory 用户账户更改？】在策略属性中，选择“定义这些策略设置”复选框。根据您的审计尝试要求，选择任何一个或两个选项（成功和失败）。
?审核 AD域帐户管理属性
?单击“应用”，然后单击“确定”关闭属性窗口。
?直接更新组策略以反映整个域的新更改
?在“命令提示符”中运行以下命令：GP更新/强制

文章插图
审计策略
以上便是启用“用户账户管理”审计策略的具体步骤，但光凭AD域自身所带审计策略并不足以对域内用户的行为进行高效审计，因此目前很多企业更多的是利用第三方工具来对AD域进行审计。接下来就给大家介绍一款来自卓豪的AD域审计工具——ADAudit Plus

文章插图
用户行为监控
卓豪的ADAudit Plus是一款AD域变更审计与报表软件，它能对AD域内用户的行为进行跟踪，通过生成的各类报表对用户行为进行分析。发现异常行为或恶意操作，实时进行报警，让域内用户行为真正的可视化。对网络合规性的审计有非常大的帮助。相比以往管理员通过域控制器对域内用户行为审查，ADAudit Plus不仅增加了审查效率，还能通过对域内的关联事件进行分析，彻底的对域用户的各类行为进行有效审计。