Überwachen von Anspruchstypen
In diesem Thema, das sich an IT-Experten richtet, wird beschrieben, wie Änderungen an mit der dynamischen Zugriffssteuerung verknüpften Anspruchstypen überwacht werden, wenn Sie erweiterte Sicherheitsüberwachungsoptionen verwenden.
Bei Anspruchstypen handelt es sich um einen der grundlegenden Bausteine von „Dynamische Zugriffssteuerung“. Anspruchstypen können Attribute wie die Abteilungen in einer Organisation oder die Ebenen der Sicherheitsüberprüfung enthalten, die für Benutzerklassen gelten. Sie können die Sicherheitsüberwachung verwenden, um nachzuverfolgen, ob Ansprüche hinzugefügt, geändert, aktiviert, deaktiviert oder gelöscht werden.
Gehen Sie wie folgt vor, um die Einstellungen für das Überwachen von Änderungen an den Anspruchstypen in AD DS zu konfigurieren. In diesen Vorgehensweisen wird davon ausgegangen, dass Sie die dynamische Zugriffssteuerung, einschließlich der zentralen Zugriffsrichtlinien, Ansprüche und der anderen Komponenten, in Ihrem Netzwerk konfiguriert und bereitgestellt haben. Wenn Sie die dynamische Zugriffssteuerung noch nicht in Ihrem Netzwerk bereitgestellt haben, finden Sie unter Bereitstellen einer zentralen Zugriffsrichtlinie (Demonstrationsschritte) eine entsprechende Anleitung.
Hinweis
Die Funktionsweise des Servers ist möglicherweise abhängig von der Version und der Edition des installierten Betriebssystems, von Ihren Kontoberechtigungen sowie von den Menüeinstellungen.
.gif "Mt431881.wedge(de-de,VS.85).gif")
So konfigurieren Sie Einstellungen für das Überwachen von Änderungen an Anspruchstypen
Melden Sie sich mithilfe Ihrer Domänenadministratoranmeldeinformationen an Ihrem Domänencontroller an.
Zeigen Sie im Server-Manager auf Extras, und klicken Sie dann auf Gruppenrichtlinienverwaltung.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf das standardmäßige „Gruppenrichtlinienobjekt“ des Domänencontrollers, und klicken Sie dann auf Bearbeiten.
Doppelklicken Sie auf Computerkonfiguration, klicken Sie auf Sicherheitseinstellungen, erweiterten Sie Erweiterte Überwachungsrichtlinienkonfiguration und dann Systemüberwachungsrichtlinien, klicken Sie auf DS-Zugriff, und doppelklicken Sie dann auf Verzeichnisdienständerungen überwachen.
Aktivieren Sie die Kontrollkästchen Folgende Überwachungsereignisse konfigurieren, Erfolgreich (und bei Bedarf Fehler), und klicken Sie dann auf OK.
Nachdem Sie die Einstellungen für das Überwachen von Änderungen an den Anspruchstypen in AD DS konfiguriert haben, müssen Sie sicherstellen, ob die Änderungen überwacht werden.
So überprüfen Sie, ob die Änderungen an den Anspruchstypen überwacht werden
Melden Sie sich mithilfe Ihrer Domänenadministratoranmeldeinformationen an Ihrem Domänencontroller an.
Öffnen Sie das Active Directory-Verwaltungscenter.
Klicken Sie unter Dynamische Zugriffssteuerung mit der rechten Maustaste auf Anspruchstypen, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf der Registerkarte Sicherheit auf die Option Erweitert, um das Dialogfeld Erweiterte Sicherheitseinstellungen zu öffnen, und klicken Sie dann auf die Registerkarte Überwachung.
Klicken Sie auf Hinzufügen, um eine Sicherheitsüberwachungseinstellung für den Container hinzuzufügen, und schließen Sie dann alle Dialogfelder für die Sicherheitseigenschaften.
Fügen Sie im Container Anspruchstypen einen neuen Anspruchstyp hinzu, oder wählen Sie einen vorhandenen Anspruchstyp aus. Klicken Sie im Bereich Aufgaben auf Eigenschaften, und ändern Sie dann mindestens ein Attribut.
Klicken Sie auf OK, und schließen Sie dann das Active Directory-Verwaltungscenter-
Öffnen Sie auf diesem Domänencontroller die Ereignisanzeige, erweitern Sie Windows-Protokolle, und wählen Sie dann die Registerkarte Sicherheit aus.
Suchen Sie nach dem Ereignis 5137. Zu den wichtigen Informationen, nach denen gesucht werden sollte, zählen der Name des neuen Attributs, das hinzugefügt wurde, der erstellte Anspruchstyp und der Benutzer, der den Anspruch erstellt hat.