Windows 2008引入了审核对象的创建,删除,移动和修改的功能.信息包括执行可审计事件的人员以及对象的DN.在修改的情况下,记录两个事件,它们基本上为您提供当前和以前的值.

使用以下命令在DC上启用此功能：

auditpol /set /subcategory:"directory service changes" /success:enable

您还需要在AD用户和&amp ;;中启用成功审核.计算机,通常在域级别.

将此与事件日志转发相结合时,结果是非常强大且方便的功能.例如,我们将dc设置为将事件ID 5136-5139,5141转发到中央实用程序服务器上的“Forwarded Events”事件日志.

从收集服务器到DC的简单拉取订阅,在高度选择性的XPath查询中过滤噪声可以轻松地将您需要的内容带到一个位置,可以将其存档,报告或导入另一个报告系统.这是一个例如查询的例子：

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[( (EventID &gt;= 5136 and EventID &lt;= 5139)  or EventID=5141) and TimeCreated[timediff(@SystemTime) &lt;= 3600000]]]</Select>
    <Suppress Path="Security">*[EventData[Data="S-1-5-18"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "dNSTombstoned"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "dnsRecord"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "msExchExpansionServerName"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "msExchServer1HighestUSNVector"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "msExchMessageJournalRecipient"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "dnsNode"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "printQueue"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "serviceConnectionPoint"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "msExchAddressListService"]]</Suppress>
  </Query>
</QueryList>

有些事情需要配置才能使订阅正常工作.有些可以在组策略中完成.

更多信息：

AD DS审核循序渐进指南
http://technet.microsoft.com/en-us/library/cc731607%28WS.10%29.aspx

配置计算机以转发和收集事件
http://technet.microsoft.com/en-us/library/cc748890.aspx

适用于Windows的快速和肮脏的大规模事件
http://blogs.technet.com/b/wincat/archive/2008/08/11/quick-and-dirty-large-scale-eventing-for-windows.aspx