活动目录(Active Directory)这个名词相比对
Windows Server管理员们来说并不陌生。
微软从Win2000中引入了活动目录的概念,活动目录是一种集成管理技术,与现实生活中的各种管理模式一样,它的出现是为了更有效,更灵活的实现管理目的。活动目录是一个层次的、树状的结构,通过活动目录组织和存储
网络上的对象信息,可以让管理员非常方便的进行对象的查询、组织和管理。活动目录具有与DNS集成、便于查询、可伸缩可扩展、可以进行基于策略的管理、安全高效等特点,通过组织活动目录,可以实现提高
用户生产力、增强安全性、减少宕机时间、减轻IT管理的负担与成本等优势。
简单回顾了一下活动目录的概念和作用,下文我们将对微软新一代企业级应用平台Windows Server 2008中活动目录的新功能进行简单介绍。首先从活动目录服务的名称上看,在Win2000和Win2003系统中,活动目录服务被命名为AD Directory Service,而在Win2008中,活动目录服务有了一个新的名称:Active Directory Domain Service(在下文中简称ADDS)。名称的改变意味着微软对Win2008的活动目录进行了较大的调整,增加了功能强大的新特性并且对原有特性进行了增强。
1、活动目录审核新特性
活动目录审核(Audit)并不是Win2008活动目录中的一个新功能,在Win2000/Win2003的活动目录中也可以指派审核策略。通过审核功能,系统可以将服务器的状态、用户登录状态以及活动目录等状态进行记录,以日志的方式进行储存,管理员可以通过管理工具中的“Event Viewer”来查看日志,查看日志是管理员了解系统状态、排除错误的一个重要手段。
但是在Win2000/2003中的活动目录审核功能具有一定的缺陷,当我们在活动目录中的一个容器启用Directory Service Access审核策略,来记录这个容器下的对象的活动,以检测活动目录的变化的时候,与活动目录相关的事件日志会快速爆满,这样一来管理员在事件查看器(Event Viewer)中查找需要的日志的时候就会非常麻烦,而且日志比较简单,不是很详细。
事件查看器中充满了日志,想找到自己所需的日志并不是一件容易的事情。这时候需要用到事件查看器中的筛选器(Filter)功能,可以按照时间、事件类型或者事件ID来进行检索。活动目录中,每一类相同的事件比如活动目录对象转移、添加等都会有一个相同的事件ID,通过筛选相同的事件ID就可以找到同一类事件。除了使用时间查看器中的筛选器筛选日志外,可以通过导出事件到Excel进行分类排序,也可以找到需要的日志。
这样虽然能够找到需要的日志,但是操作起来也非常繁琐,影响效率。Win2008中的审计功能进行了较大的优化,更为细化、精确,可以在日志中查看谁对活动目录做出过修改,修改何时发生、修改了哪些对象与属性以及修改的值等信息,这些细化的事件又分别对应着不同的事件ID,这样就使日志的可读性以及易检索性大大加强。
Win2008通过将全局的活动目录审核策略Active Directory Service Access细化为4个子类别,并且增添了新的审核子类别“Directory Service Changes”来实现上述的功能。通过这个新的子类别,我们可以审核活动目录中对象的创建,修改,移动及恢复的行为,这样一来就使日志记录得更加准确。
Active Directory Service Access细分为4个子类别
审核子类别“Directory Service Changes”可以审核活动目录中对象的创建,修改,移动及恢复的行为。其事件ID分别依次为:5137、5136、5139、5138。在事件查看器中筛选这些ID就可以查到相关的日志。
最后需要注意一点,如果启用全局的Directory Service Access审核策略,会自动启用其下四个子类审核策略,这样也会造成日志的爆满。但是值得庆幸的是这四个子类审核策略可以在不启用Directory Service Access审核策略的请款下单独启用,彼此相互独立,这样使日志更加精确,便于分类查找。
