|
||||
活動目錄(Active Directory)這個名詞相比對Windows Server管理員們來說並不陌生。微軟從Win2000中引入了活動目錄的概念,活動目錄是一種集成管理技術,與現實生活中的各種管理模式一樣,它的出現是為了更有效,更靈活的實現管理目的。活動目錄是一個層次的、樹狀的結構,通過活動目錄組織和存儲網絡上的對象信息,可以讓管理員非常方便的進行對象的查詢、組織和管理。活動目錄具有與DNS集成、便於查詢、可伸縮可擴展、可以進行基於策略的管理、安全高效等特點,通過組織活動目錄,可以實現提高用戶生產力、增強安全性、減少宕機時間、減輕IT管理的負擔與成本等優勢。
簡單回顧了一下活動目錄的概念和作用,下文我們將對微軟新一代企業級應用平臺Windows Server 2008中活動目錄的新功能進行簡單介紹。首先從活動目錄服務的名稱上看,在Win2000和Win2003系統中,活動目錄服務被命名為AD Directory Service,而在Win2008中,活動目錄服務有了一個新的名稱:Active Directory Domain Service(在下文中簡稱ADDS)。名稱的改變意味著微軟對Win2008的活動目錄進行了較大的調整,增加了功能強大的新特性並且對原有特性進行了增強。
1、活動目錄審核新特性
活動目錄審核(Audit)並不是Win2008活動目錄中的一個新功能,在Win2000/Win2003的活動目錄中也可以指派審核策略。通過審核功能,系統可以將服務器的狀態、用戶登錄狀態以及活動目錄等狀態進行記錄,以日志的方式進行儲存,管理員可以通過管理工具中的『Event Viewer』來查看日志,查看日志是管理員了解系統狀態、排除錯誤的一個重要手段。
但是在Win2000/2003中的活動目錄審核功能具有一定的缺陷,當我們在活動目錄中的一個容器啟用Directory Service Access審核策略,來記錄這個容器下的對象的活動,以檢測活動目錄的變化的時候,與活動目錄相關的事件日志會快速爆滿,這樣一來管理員在事件查看器(Event Viewer)中查找需要的日志的時候就會非常麻煩,而且日志比較簡單,不是很詳細。
事件查看器中充滿了日志,想找到自己所需的日志並不是一件容易的事情。這時候需要用到事件查看器中的篩選器(Filter)功能,可以按照時間、事件類型或者事件ID來進行檢索。活動目錄中,每一類相同的事件比如活動目錄對象轉移、添加等都會有一個相同的事件ID,通過篩選相同的事件ID就可以找到同一類事件。除了使用時間查看器中的篩選器篩選日志外,可以通過導出事件到Excel進行分類排序,也可以找到需要的日志。
這樣雖然能夠找到需要的日志,但是操作起來也非常繁瑣,影響效率。Win2008中的審計功能進行了較大的優化,更為細化、精確,可以在日志中查看誰對活動目錄做出過修改,修改何時發生、修改了哪些對象與屬性以及修改的值等信息,這些細化的事件又分別對應著不同的事件ID,這樣就使日志的可讀性以及易檢索性大大加強。
Win2008通過將全局的活動目錄審核策略Active Directory Service Access細化為4個子類別,並且增添了新的審核子類別『Directory Service Changes』來實現上述的功能。通過這個新的子類別,我們可以審核活動目錄中對象的創建,修改,移動及恢復的行為,這樣一來就使日志記錄得更加准確。
Active Directory Service Access細分為4個子類別
審核子類別『Directory Service Changes』可以審核活動目錄中對象的創建,修改,移動及恢復的行為。其事件ID分別依次為:5137、5136、5139、5138。在事件查看器中篩選這些ID就可以查到相關的日志。
最後需要注意一點,如果啟用全局的Directory Service Access審核策略,會自動啟用其下四個子類審核策略,這樣也會造成日志的爆滿。但是值得慶幸的是這四個子類審核策略可以在不啟用Directory Service Access審核策略的請款下單獨啟用,彼此相互獨立,這樣使日志更加精確,便於分類查找。