安全提示：检测 Active Directory 中的权限更改

在本技巧中，我将向您展示如何启用对 Active Directory 对象权限更改的审核。每当有人成功委派或更改 Active Directory 中对象的权限时，以下更改都会记录事件 ID 5136。

第一步是启用对 DC 上目录服务更改的审核，您可以通过修改默认域控制器策略组策略对象 (GPO) 来实现这一点。

• 使用具有域管理员权限的帐户登录到安装了远程服务器管理工具 (RSAT) 的服务器或工作站。
• 打开组策略管理。如果您使用的是 Windows 服务器，可以在服务器管理器的工具菜单中找到组策略管理。
• 在组策略管理中，展开您的 AD 林、域、您的域，然后展开域控制器组织单位 (OU)。
• 右键单击默认域控制器策略GPO，然后从菜单中选择编辑。
• 在“组策略管理编辑器”窗口的“计算机配置”下的左窗格中，展开“策略”>“Windows 设置”> 高级策略配置并单击DS 访问。

• 双击右侧的审核目录服务更改。
• 在“策略”选项卡上的“属性”对话框中，选中配置以下审核事件，并选中成功和失败。单击确定。
• 关闭组策略管理编辑器

现在让我们向域添加系统访问控制列表 (SACL) 以审核修改的权限。

• 打开 Active Directory 用户和计算机 (ADUC)。
• 打开查看菜单并确保高级功能左侧有勾号。如果没有，请单击高级功能将其激活。
• 在左侧窗格中，右键单击您的 AD 域，然后从菜单中选择属性。
• 在属性对话框中，切换到安全选项卡，然后单击高级。
• 在“高级安全设置”对话框中，切换到“审核”选项卡，然后单击“添加”。
• 在审核条目对话框中，单击选择主体，在输入对象名称下键入所有人在“选择用户、计算机、服务帐户或组”对话框中进行选择，然后单击“确定”。
• 在“审核条目”对话框中，确保“类型：”设置为“成功”，并且设置“应用到：”到此对象和所有后代对象。

• 在权限下，确保修改权限是唯一选定的选项，然后单击确定。
• 在“高级安全设置”和“域属性”对话框中，单击“确定”。
• 关闭 ADUC。

为了证明权限更改现在已被记录，我将权限（通过使用 ADUC 中的用户容器上的 ADUC 中内置的控制委派向导）委派给名为 Helpdesk 的组em> 以便会员可以重置用户密码。为了获取安全事件列表，我登录到域控制器并在 PowerShell 中运行以下命令：

Get-EventLog 安全 - 最新 10 |地点对象 {$_.EventID -eq 5136} |
格式列表

正如您在屏幕截图中看到的，管理员帐户对用户容器的权限进行了更改，并给出了新安全描述符 (SDDL) 的值，尽管格式相当不可读。