Мониторинг определений атрибутов ресурса

В этом разделе для ИТ-специалистов описываются способы отслеживания изменений определений атрибутов ресурсов при использовании дополнительных параметров аудита безопасности для отслеживания объектов динамического контроля доступа.

Определения атрибутов ресурсов задают основные свойства атрибутов ресурсов, например, что означает для ресурса, если он определен как «высокая значимость для бизнеса». Определения атрибутов ресурса хранятся в AD DS в контейнере свойств ресурса. Изменения этих определений могут существенно поменять методы защиты, управляющие ресурсом, даже если сами атрибуты, применяемые к ресурсу, остаются неизменными. Изменения можно отслеживать так же, как любой другой объект AD DS.

Сведения об отслеживании изменений атрибутов ресурсов, которые применяются к файлам, см. в разделе Отслеживание атрибутов ресурсов для файлов и папок.

Для настройки параметров отслеживания изменений определений атрибутов ресурсов в AD DS и проверки изменений используются следующие процедуры. Предполагается, что вы выполнили настройку и развертывание динамического контроля доступа, в том числе централизованные политики, утверждения и другие компоненты в своей сети. Если вы пока не выполнили развертывание динамического контроля доступа в своей сети, см. раздел Развертывание централизованной политики доступа (пошаговая демонстрация).

Примечание  

Сервер может вести себя по-разному в зависимости от версии и выпуска установленной операционной системы, прав и разрешений вашей учетной записи и параметров меню.

 

Mt431883.wedge(ru-ru,VS.85).gifНастройка параметров для отслеживания изменений атрибутов ресурсов

  1. Войдите в свой контроллер домена с использованием учетных данных администратора домена.

  2. В диспетчере сервера выберите Инструменты, затем щелкните Управление групповыми политиками.

  3. В дереве консоли щелкните правой кнопкой мыши объект групповой политики для контроллера домена по умолчанию, затем нажмите кнопку Изменить.

  4. Дважды щелкните Конфигурация компьютера, щелкните Параметры безопасности, разверните Расширенная настройка политик аудита, разверните Политики аудита системы, щелкните Доступ DS, затем дважды щелкните Аудит изменений службы каталогов.

  5. Установите флажок Настроить следующие события аудита, установите флажок Успешно (и при необходимости флажок С ошибками), затем нажмите кнопку ОК.

  6. Закройте редактор «Управление групповыми политиками».

  7. Откройте центр администрирования Active Directory.

  8. В разделе Динамический контроль доступа щелкните правой кнопкой мыши Свойства ресурса, а затем нажмите Свойства.

  9. Щелкните вкладку Безопасность, щелкните Дополнительно, чтобы открыть диалоговое окно Дополнительные параметры безопасности, затем перейдите на вкладку Аудит.

  10. Нажмите кнопку Добавить, добавьте параметр аудита безопасности для контейнера, затем закройте все окна свойства безопасности.

После настройки параметров отслеживания изменений атрибутов ресурсов в AD DS убедитесь в том, что отслеживание изменений выполняется.

Mt431883.wedge(ru-ru,VS.85).gifПроверка того, выполняется ли отслеживание изменений определений ресурсов

  1. Войдите в свой контроллер домена с использованием учетных данных администратора домена.

  2. Откройте центр администрирования Active Directory.

  3. В разделе Динамический контроль доступа щелкните Свойства ресурса, а затем дважды щелкните атрибут ресурса.

  4. Внесите изменения в этот атрибут ресурса.

  5. Нажмите кнопку ОК, затем закройте центр администрирования Active Directory.

  6. В диспетчере сервера выберите Инструменты, затем нажмите на Просмотр событий.

  7. Разверните Журналы Windows и выберите Безопасность. Убедитесь, что событие 5137 внесено в журнал безопасности.

Связанный ресурс

Использование расширенных возможностей аудита безопасности для мониторинга объектов динамического контроля доступа

 

 

Показ: