Windows Server 2008提升AD管理效率

核心提示： 首先在命令行下输入命令“auditpol /set /subcategory:"directory service changes" /success:enable”以启用策略(提示，上面的命令适合于英文版的Server 2008，Windows

首先在命令行下输入命令“auditpol /set /subcategory:"directory service changes" /success:enable”以启用策略(提示，上面的命令适合于英文版的Server 2008，如果你是中文版的可输入命令“AuditPol /set /subcategory:"目录服务更改" /success:enable“directory server changes”。如果还不可以的话，我们用32位ID来代替实例名。我们可以执行命令AuditPol /backup/file:c:test.csv将审核策略保存为test.csv，然后用记事本打开查看到与“目录服务更改”对应的ID，然后执行命令，比如AuditPol /set /subcategory:{0CCE923C-69AE-11D9-BED3-505054503030} /success:enable即可)。然后输入命令gpupdage更新组策略。(图7)

图7 用审核策略加强AD管理

然后“开始→管理工具→Active Directory用户和计算机”打开AD用户和计算机管理器，找到你需要启用审核策略的OU(组织单元)比如ctocio，右键单击选择“属性”打开其属性对话框，在“安全”标签下点击“高级”按钮在打开的对话框中点击“审核”标签，点击下面的“添加”按钮输入Authenticated Users或者其他对对象然后退回到审核项目窗口。在“应用到”下拉列表中选择“后代 用户 对象”(或者其他)，然后勾选“访问”下的“写入全部属性”中的“成功”，最后依次退出设置窗口。(图8)

图8 用审核项目

为了验证效果，我们在ctocio OU中创建一个用户，右键单击选择“新建→用户”根据向导新建用户wf。然后“开始→管理工具→事件查看器”可在“安全日志”中看到与“目录服务更改”相关的内容，查看“详细信息”administrator用户在fr.zhongtian.com的DC的ctocio的OU中创建了wf用户。(图9)

图9 安全审核

总结：Active Directory作为微软在局域网与资源管理等方面的解决方案，在Windows Server 2008中其优越性得到进一步的体现。特别值得一提的是微软对AD的证书服务进行了重新设计，它与组策略设置密切配合，提供更容易的证书注册、发现和存储。作为一款比较新的服务器平台，Server 2008还有许多新的功能与技巧等待我们去利用和挖掘。