本文介紹了在WindowsServer2008R2系統中使用事件查看器，啟用審計功能來審計域管理員，查看系統記錄的事件，判斷如何賦予這個管理員的權限的內容。具體內容如下所述。

微軟系統中任何關于如何限制或控制管理員權限的討論通常都會得到這樣的結果：你怎樣才能不把管理權限送給那些你不信任的人?這有一定道理，但是在沒有證據表明管理員做錯了事情的情況下，如何才能正確判斷一個管理員是否值得信任呢?再者，你如何證明你的判斷呢?

你不能剝奪一個域管理員太多權限，尤其是在每個域都要管理的多網域環境下，所以說有時候限制管理員的權利和授權活動這項工作很難實現。輔助人員和供給人員通常也需要具有管理權利，而且有時政治需求還會需要更多的管理人員。所以，真正的問題是，你如何去審計一個管理員?

雖然答案是只要啟用審計就行了，但是只是簡單地啟用審計功能并不能解決所有的問題。舉例來說，我最近與許多管理員一起進行了一項大型的活動目錄部署活動。他們有一個應用程序，使用特定的用戶對象屬性提供對該應用程序的連接。站在安全相關立場，他們發現管理員可以禁用審計功能，修改一些關鍵的屬性，并且可以對該應用程序做壞事。然后該管理員可以重新啟用審計功能而不會被覺察---甚至WindowsServer2008R2的屬性審計功能也是如此。啟用審計功能的時候，系統可以記錄足夠的事件，從中可以看出誰改變了對象，以及誰改變了屬性。但是由于審計功能被禁用，所有這方面的證據都消失了。

事實證明，當非目錄對象審計功能開啟的時候，事件ID4907(圖1)被記錄了下來，然而目錄對象的審計卻沒有記錄這個事件。

圖1.事件ID4907

雖然這個事件清楚地顯示出了審計政策發生了變化以及誰進行的這項改變，但是我們不能在微軟系統中用其它方法在事情被記錄之前得到所需信息，我需要這方面的功能。這很重要，因為它允許我向大家示范事件查看器的強大功能，比如為WindowsServer2008R2準備的自定義查看以及排序分類/存儲過濾器功能等。如果啟用對象審計的話，詳細的審計會在安全日志中添加數量巨大的事件。在舊版本的事件查看器中，從這些事件中選出你想要的分類非常困難。

為了審計目錄對象，必須啟用待審計的對象上面的組策略對象設置選項“審計目錄服務訪問”(圖2)。

圖2.審計目錄服務訪問GPO

另外，審計必須在對象本身執行。比如，要配置用戶對象的審計設置，步驟如下：

(ADUC活動目錄用戶和電腦)的管理單元中找到想要設置的對象。

打開對象屬性對話框并選擇安全選項卡。一定要在查看菜單中啟用高級功能。

在安全頁選項卡中，點擊高級按鈕。

在高級屬性對話框中，選擇審計選項卡。選擇添加按鈕來添加用戶或者組審計，如圖3所示。你可以在接下來的窗口中指定安全選項。點擊確定按鈕退出所有打開的窗口。

用審計屬性中指定的管理員身份登錄，測試審計功能是否ok(在我的例子中指定的管理員是JrAdmin)。修改審計功能已經開啟的對象并檢查安全事件日志。舉個例子，你可以刪除用戶對象或者修改其中的一個屬性。

圖3.ADUC中的高級安全設置

審計功能開啟之后，會有大量的事件出現在安全日志中，常見的有以下幾種：

事件ID4738---當對象被修改的時候系統就會記錄該事件。

事件ID4662---許多這種事件帶有各種各樣的少量信息(圖4)。在我的工程中，一個單一的對象改動就產生了25個這種事件。

圖4.EventID4662的屬性

事件ID5136---這個事件提供了更多改動的詳細信息，請看下面的例子。請注意我們可以看到用戶改變目錄對象的DN，也能夠看到對象的DN。我們還可以看到描述屬性發生了改動，因為我們看到了原來的值以及被刪除的值(請注意這里為了簡短起見有些內容被刪除了)：

LogName:Security  
 
EventID:5136  
 
TaskCategory:DirectoryServiceChanges  
 
Computer:w2k8r2-dc1.w2k8r2.Wtec.adapps.hp.com  
 
Description:Adirectoryserviceobjectwasmodified.  
 
Subject:  
 
SecurityID:W2K8R2\JrAdmin  
 
AccountName:JrAdmin  
 
AccountDomain:W2K8R2  
 
DirectoryService:  
 
Name:w2k8r2.Wtec.adapps.hp.com  
 
Object:  
 
DN:  
 
CN=AdmUser401,OU=Atlanta,DC=w2k8r2,DC=Wtec,DC=adapps,DC=hp,DC=com 
 
GUID:  
 
CN=AdmUser401,OU=Atlanta,DC=w2k8r2,DC=Wtec,DC=adapps,DC=hp,DC=com 
 
Class:user  
 
Attribute:  
 
LDAPDsplayName:description  
 
Syntax(OID):2.5.5.12  
 
Value:Thisisatest  
 
Operation:  
 
Type:ValueDeleted  
 
CorrelationID:{1e193e1d-537f-49c7-bb69-bb50aa4542c2}  
 
ApplicationCorrelationID:-  
 

現在讓我們來考慮幾個選項以及結果。

啟用GPO審計(目錄訪問)，但是對象審計被禁用

結果：當用戶從對象審計列表中移出的時候，系統記錄了事件ID4662。

結果：當改變對象的時候，系統記錄了事件ID4738。

禁用GPO審計(目錄訪問)，啟用對象審計。

-*#160結果：事件ID4662,4738和5136都被記錄了下來。

我們可以很容易地看到開啟完整審計功能與禁用GPO審計而啟用對象審計時事件數量上的區別。請注意，即便是禁用了GPO審計，重要事件ID5136也會被記錄，它會顯示出屬性改變的詳細信息以及誰進行了這個改變。如果GPO審計和對象審計都被禁用，系統只會記錄一種事件EventID4738，這個事件中沒有任何有用信息：

LogName:Security  
 
EventID:4738  
 
Computer:w2k8r2-dc1.w2k8r2.Wtec.adapps.hp.com  
 
Description:Auseraccountwaschanged.  
 
Subject:  
 
SecurityID:W2K8R2\JrAdmin  
 
AccountName:JrAdmin  
 
AccountDomain:W2K8R2  
 
TargetAccount:  
 
SecurityID:W2K8R2\AdmUser400  
 
AccountName:AdmUser400  
 
AccountDomain:W2K8R2  
 

請注意，雖然各種審計功能的組合能夠產生某些事件，但是對于目錄對象來說，還是沒有事件能夠記錄其審計策略的改變。非目錄對象(文件、文件夾等等)會記錄在事件ID4907中。

總結：

知道了上述的這些事件，那么解決方案是什么呢?下篇文章中，我們將詳細為您提供相應的解決方案。

【編輯推薦】

1. 用域管理員工賬號使之按需使用
2. 活動目錄災難管理員應該如何應對
3. 為Linux管理員節省時間的十條命令行
4. 新概念運維之管理員們破壞的數據總要比黑客多
5. Cacti：AppServ環境，事件查看器報錯_httpd php5ts