如何检测 Active Directory 中 OU 和组的更改

对 Active Directory 中的组织单位 (OU) 和组的意外或恶意更改几乎不可避免地会给 IT 部门带来麻烦。以下是一些最常见的示例：

• 如果删除包含“用户帐户”的 OU，用户将无法登录或在访问 IT 服务（如电子邮件、Messenger、SharePoint 等）时遇到困难；
• 删除包含“计算机帐户”的 OU 可能会因 IP 地址更改而导致无法应用组策略；
• 删除包含“打印机”的 OU 会使用户无法使用打印机，从而增加帮助台的压力。

为了避免这些和许多其他负面后果，有必要定期监视 Active Directory 中组织单位和组的更改，并及时响应不需要的更改。

您可以在下面找到两种设置更改跟踪的方法。将其中一项纳入您的安全策略将使您了解对 Active Directory 组织单位和组进行的未经授权的更改。

本机审计

1. 运行 GPMC.msc (url2open.com/gpmc) > 右键单击“默认域策略”并选择“编辑”> 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 审核策略：

• 审核账户管理 > 定义 > 成功
• 审核目录服务访问 > 定义 > 成功。

2. 返回安全设置级别 > 事件日志：

• 最大安全日志大小 > 定义为 1GB
• 安全日志的保留方法 > 定义为根据需要覆盖事件。

3. 运行“gpupdate /force”命令。

4. 打开 ADSI 编辑 (url2open.com/adsi) > 右键单击 ADSI 编辑 > 连接到默认命名上下文 > 右键单击包含您的域名称的 DomainDNS 对象 > 属性 > 安全（选项卡） > 高级（按钮） > 审核（选项卡）> 添加主体“所有人”> 键入“成功”> 适用于“此对象和后代对象”> 权限 > 通过单击“完全控制”选择所有复选框，但以下项除外：完全控制、列出内容、读取所有属性，读取权限 > 单击“确定”。

5. 打开事件查看器并过滤安全日志以查找事件 ID (Windows Server 2003/2008-2012)：

• 631、635、648、653、658、663/4727、4731、4754、4759、4744、4749 - 已创建组
• 632、636、650、655、660、665/4728、4732、4756、4761、4746、4751 - 成员已添加到群组
• 633、637、651、656、661、666/4729、4733、4757、4762、4747、4752 - 从群组中删除成员
• 634、638、652、662、667、657/4730、4734、4758、4748、4753、4763 - 组已删除
• 639、641、649、654、659、664/4735、4737、4745、4750、4755、4760 - 组已更改
• 566/4662 - 对对象执行了操作（类型：目录服务访问）。

Active Directory 的 Netwrix Auditor

1. 运行 Netwrix Auditor > Managed Objects > Your.domain > 单击“运行”来收集日志（日志收集会按照指定的计划自动执行；这里您可能需要手动单击“运行”按钮，以避免等待下一个计划的数据收集）> 打开日志收集后收到的电子邮件。

希望本指南能够帮助您检测不需要的更改，保证 Active Directory 等 IT 环境的重要部分的安全，并减轻审核负担。