Мониторинг типов утверждений
В этом разделе для ИТ-специалистов описываются способы отслеживания изменений типов утверждений, связанных с динамическим контролем доступа при использовании дополнительных параметров аудита безопасности.
Типы утверждений являются одним из базовых элементов динамического контроля доступа. Типами утверждений могут быть такие атрибуты, как отделы в организации или уровни допуска к секретной информации, применяемые к классам пользователей. С помощью аудита безопасности можно отслеживать, были ли утверждения добавлены, изменены, включены, отключены или удалены.
Для настройки параметров отслеживания изменений типов утверждений в AD DS используются следующие процедуры. Предполагается, что вы выполнили настройку и развертывание динамического контроля доступа, в том числе централизованные политики, утверждения и другие компоненты в своей сети. Если вы пока не выполнили развертывание динамического контроля доступа в своей сети, см. раздел Развертывание централизованной политики доступа (пошаговая демонстрация).
Примечание
Сервер может вести себя по-разному в зависимости от версии и выпуска установленной операционной системы, прав и разрешений вашей учетной записи и параметров меню.
.gif "Mt431881.wedge(ru-ru,VS.85).gif")
Настройка параметров для отслеживания изменений типов утверждений
Войдите в свой контроллер домена с использованием учетных данных администратора домена.
В диспетчере сервера выберите Инструменты, затем щелкните Управление групповыми политиками.
В дереве консоли щелкните правой кнопкой мыши объект групповой политики по умолчанию для контроллера домена, затем нажмите кнопку Изменить.
Дважды щелкните Конфигурация компьютера, щелкните Параметры безопасности, разверните Расширенная настройка политик аудита, разверните Политики аудита системы, щелкните Доступ DS, затем дважды щелкните Аудит изменений службы каталогов.
Установите флажок Настроить следующие события аудита, установите флажок Успешно (и при необходимости флажок С ошибками), затем нажмите кнопку ОК.
После настройки параметров отслеживания изменений типов утверждений в AD DS убедитесь, что отслеживание изменений выполняется.
Проверка отслеживания изменений типов утверждений
Войдите в свой контроллер домена с использованием учетных данных администратора домена.
Откройте центр администрирования Active Directory.
В разделе Динамический контроль доступа щелкните правой кнопкой мыши Типы утверждений, а затем нажмите Свойства.
Щелкните вкладку Безопасность, щелкните Дополнительно, чтобы открыть диалоговое окно Дополнительные параметры безопасности, затем перейдите на вкладку Аудит.
Нажмите кнопку Добавить, добавьте параметр аудита безопасности для контейнера, затем закройте все диалоговые окна свойства безопасности.
В контейнере Типы утверждений добавьте новый или выберите существующий тип утверждений. В области Задачи щелкните Свойства, а затем измените один или несколько атрибутов.
Нажмите кнопку ОК, затем закройте центр администрирования Active Directory.
Откройте средство просмотра событий на этом контроллере домена, разверните Журналы Windows и выберите журнал Безопасность.
Найдите событие 5137. Важная информация, которую следует искать: имя нового добавленного атрибута, созданный тип утверждений и пользователь, создавший утверждение.