Konfiguration der Objektüberwachung - Manuelle Konfiguration

Die Überwachung auf Objektebene muss konfiguriert werden, um sicherzustellen, dass Ereignisse protokolliert werden, sobald eine Aktivität in Bezug auf Active Directory-Objekte auftritt.

Konfiguration der Überwachung für OU-, GPO-, Benutzer-, Gruppen-, Computer- und Kontaktobjekte

• Melden Sie sich an einem Computer mit den Active Directory-Benutzern und -Computern mit Domain-Admin-Anmeldedaten an → Öffnen Sie ADUC.

Klicken Sie auf Ansicht und stellen Sie sicher, dass Erweiterte Funktionen aktiviert sind. Dadurch werden die erweiterten Sicherheitseinstellungen für ausgewählte Objekte in Active Directory-Benutzern und -Computern angezeigt.

• Klicken Sie mit der rechten Maustaste auf die Domäne → Eigenschaften → Sicherheit → Erweitert → Überwachung → Hinzufügen.
• Im Überwachungseintrag-Fenster → Wählen Sie eine Berechtigungsstufe: Jeder → Typ: Erfolg → Wählen Sie die entsprechenden Berechtigungen aus, wie in der untenstehenden Tabelle angegeben.

Hinweis: Verwenden Sie Alle löschen, um alle Berechtigungen und Eigenschaften zu entfernen, bevor Sie die entsprechenden Berechtigungen auswählen.

Überwachungseintragsnummer	Überwachungseintrag für	Zugriff	Anwenden auf
			Windows Server 2003	Windows Server 2008 und höher
1&2	OU	Erstellen von Organisationsbereich-Objekten Löschen von Organisationsbereich-Objekten	Dieses Objekt und alle Unterobjekte	Dieses Objekt und alle zugehörigen Nachkommen-Objekte
		Alle Eigenschaften schreiben Löschen Berechtigungen ändern	Organisationsbereich-Objekte	Nachkommen-Organisationsbereich-Objekte
3&4	GPO	Erstellen von groupPolicyContainer-Objekten Löschen von groupPolicyContainer-Objekten	Dieses Objekt und alle Unterobjekte	Dieses Objekt und alle zugehörigen Nachkommen-Objekte
		Alle Eigenschaften schreiben Löschen Berechtigungen ändern	groupPolicyContainer-Objekte	Nachkommen-groupPolicyContainer-Objekte
5&6	Benutzer	Erstellen von Benutzerobjekten Löschen von Benutzerobjekten	Dieses Objekt und alle Unterobjekte	Dieses Objekt und alle zugehörigen Nachkommen-Objekte
		Alle Eigenschaften schreiben Löschen Berechtigungen ändern Alle erweiterten Rechte	Benutzerobjekte	Nachkommen-Benutzerobjekte
7&8	Gruppe	Erstellen von Gruppenobjekten Löschen von Gruppenobjekten	Dieses Objekt und alle Unterobjekte	Dieses Objekt und alle zugehörigen Nachkommen-Objekte
		Alle Eigenschaften schreiben Löschen Berechtigungen ändern Alle erweiterten Rechte	Gruppenobjekte	Nachgeordnete Gruppenobjekte
9& 10	Computer	Computerobjekte erstellen Computerobjekte löschen	Dieses Objekt und alle Kinderobjekte	Dieses Objekt und alle nachgeordneten Objekte
		Alle Eigenschaften schreiben Löschen Berechtigungen ändern Alle erweiterten Rechte	Computerobjekte	Nachgeordnete Computerobjekte
11&12	Kontakt	Kontaktobjekte erstellen Kontaktobjekte löschen	Dieses Objekt und alle Kinderobjekte	Dieses Objekt und alle nachgeordneten Objekte
		Alle Eigenschaften schreiben Löschen Berechtigungen ändern	Kontaktobjekte	Nachgeordnete Computerobjekte

Bildanzeige: Überwachungseintrag Nummer 1.

Hinweis: Alle 12 Überwachungseinträge müssen aktiviert sein.

So überwachen Sie Containerobjekte

• Melden Sie sich bei einem Computer an, der das Snap-In 'Active Directory Service Interfaces' hat → Öffnen Sie die ADSI Edit-Konsole → Klicken Sie mit der rechten Maustaste auf ADSI Edit → Verbinden.
• Im Fenster Verbindungseinstellungen → Unter Wählen Sie einen Well-Known Naming Context → Wählen Sie 'Standard-Namenskontext'.
• Navigieren Sie zum linken Panel → Klicken Sie auf den Standard-Namenskontext → Klicken Sie mit der rechten Maustaste auf den unterschieden Namen der Domäne → Wählen Sie Eigenschaften → Sicherheit → Erweitert → Überwachung → Hinzufügen.
• Im Fenster „Überwachungseintrag“ → Wählen Sie einen Benutzer: Jeder → Typ: Erfolg → Wählen Sie die entsprechenden Berechtigungen gemäß der unten stehenden Tabelle.

Hinweis: Verwenden Sie „Alle löschen“, um alle Berechtigungen und Eigenschaften zu entfernen, bevor Sie die entsprechenden Berechtigungen auswählen.

Überwachungseintrag	Zugriff	Anwenden auf
		Windows Server 2003	Windows Server 2008 und höher
Container	Alle Eigenschaften schreiben Löschen Berechtigungen ändern	Containerobjekte	Nachgeordnete Containerobjekte

Konfigurieren der Überwachung für Objekte mit Kennworteinstellungen

• Melden Sie sich an einem Computer an, der die Active Directory Service Interfaces-Snap-In enthält → Öffnen Sie die ADSI-Edit-Konsole → Rechtsklick auf ADSI Edit → Verbinden.
• Im Fenster Verbindungseinstellungen → Unter Auswählen eines bekannten Namenskontexts → Wählen Sie 'Standard-Namenskontext'.
• Navigieren Sie zum linken Bereich → Klicken Sie auf den Standard-Namenskontext → Erweitern Sie die Domäne → Erweitern Sie den Systemcontainer → Rechtsklick auf den Kennworteinstellungen-Container → Eigenschaften → Sicherheit → Erweitert → Überwachung → Hinzufügen.
• Im Fenster Überwachungseintrag → Wählen Sie einen Hauptbenutzer: Jeder → Typ: Erfolg → Wählen Sie die entsprechenden Berechtigungen gemäß der unten stehenden Tabelle.

Hinweis: Verwenden Sie Alles löschen, um alle Berechtigungen und Eigenschaften zu entfernen, bevor Sie die entsprechenden Berechtigungen auswählen.

Überwachungseintragsnummer	Überwachungseintrag für	Zugriff	Anwenden auf
			Windows Server 2003	Windows Server 2008 und höher
1&2	Kennworteinstellungen-Container	MsDS-Passwort-Einstellungen-Objekte erstellen MsDS-Passwort-Einstellungen-Objekte löschen	Nicht anwendbar	Dieses Objekt und alle untergeordneten Objekte
		Alle Eigenschaften schreiben Löschen Berechtigungen ändern	Nicht anwendbar	Untergeordnete msDS-Passwort-Einstellungen-Objekte

Bild zeigt: Überwachungseintragsnummer 1.

Hinweis: Beide Überwachungseinträge müssen aktiviert sein.

Überwachung für Konfigurationsobjekte konfigurieren

• Melden Sie sich an einem Computer an, der die Active Directory Service Interfaces-Snap-In enthält → Öffnen Sie die ADSI-Edit-Konsole → Rechtsklick auf ADSI Edit → Verbinden.
• Im Fenster Verbindungseinstellungen → Unter Auswählen eines bekannten Namenskontexts → Wählen Sie Konfiguration.
• Navigieren Sie zum linken Bereich → Klicken Sie auf Konfiguration → Rechtsklick auf den Konfigurations-Namenskontext → Eigenschaften auswählen → Sicherheit → Erweitert → Überwachung → Hinzufügen.
• Im Fenster Überwachungseintrag → Wählen Sie einen Hauptbenutzer: Jeder → Typ: Erfolg → Wählen Sie die entsprechenden Berechtigungen gemäß der unten stehenden Tabelle.

Hinweis: Verwenden Sie Alles löschen, um alle Berechtigungen und Eigenschaften zu entfernen, bevor Sie die entsprechenden Berechtigungen auswählen.

Überwachungseintrag für	Zugriff	Anwenden auf
		Windows Server 2003	Windows Server 2008 und höher
Konfiguration	Alle untergeordneten Objekte erstellen Alle Eigenschaften schreiben Alle untergeordneten Objekte löschen Löschen Berechtigungen ändern Alle erweiterten Rechte	Dieses Objekt und alle untergeordneten Objekte	Dieses Objekt und alle

Konfigurieren der Prüfung für Schemaobjekte

• Melden Sie sich an einem Computer an, der das Active Directory Service Interfaces-Snap-In hat → Öffnen Sie die ADSI Edit-Konsole → Rechtsklick auf ADSI Edit → Mit verbinden.
• Im Fenster Verbindungseinstellungen → Unter Wählen Sie einen bekannten Namenskontext → Schema auswählen
• Navigieren Sie zum linken Bereich → Klicken Sie auf Schema → Rechtsklick auf den Schema-Namenskontext → Eigenschaften auswählen → Sicherheit → Erweitert → Überwachung → Hinzufügen.
• Im Überwachungseintrag-Fenster → Wählen Sie einen Prinzipal: Alle → OK → Typ: Erfolg → Wählen Sie die entsprechenden Berechtigungen aus, wie in der folgenden Tabelle angegeben.

Hinweis: Verwenden Sie "Alle löschen", um alle Berechtigungen und Eigenschaften zu entfernen, bevor Sie die entsprechenden Berechtigungen auswählen.

Überwachungseintrag für	Zugriff	Anwenden auf
		Windows Server 2003	Windows Server 2008 und höher
Schema	Alle untergeordneten Objekte erstellen Alle Eigenschaften schreiben Alle untergeordneten Objekte löschen Löschen Berechtigungen ändern Alle erweiterten Rechte	Dieses Objekt und alle untergeordneten Objekte	Dieses Objekt und alle nachfolgenden Objekte

Konfigurieren der Prüfung für DNS-Objekte

1. Melden Sie sich an einem Computer an, der das Active Directory Service Interfaces-Snap-In hat → Öffnen Sie die ADSI Edit-Konsole → OK → Rechtsklick auf ADSI Edit → Mit verbinden.
2. Im Fenster Verbindungseinstellungen → Unter Wählen oder eingeben eines unterscheidbaren Namens oder Namenskontext → Geben Sie den unterscheidbaren Namen entsprechend Ihrem Domainnamen und der Partition, in der die Zone gespeichert ist, ein.
   • Geben Sie DC=adap, DC=internal,DC=com als unterscheidbaren Namen ein. (Diese Partition wird in Adsiedit normalerweise standardmäßig geladen)
   • Geben Sie DC=DomainDNSZones,DC=adap,DC=internal,DC=com als unterscheidbaren Namen ein.
   • Geben Sie DC=ForestDNSZones,DC=adap,DC=internal,DC=com als unterscheidbaren Namen ein.

   

   

3. Navigieren Sie zum linken Panel → Klicken Sie auf Standard-Namenskontext → Rechtsklick auf MicrosoftDNS→ Eigenschaften auswählen → Sicherheit → Erweitert → Überwachung → Hinzufügen.
4. iv. Im Überwachungseintrag-Fenster → Wählen Sie ein Prinzipal aus → Jeder → OK → Typ: Erfolg → Wählen Sie die entsprechenden Berechtigungen, wie in der Tabelle unten angegeben.



Hinweis: Verwenden Sie "Alle löschen", um alle Berechtigungen und Eigenschaften zu entfernen, bevor Sie die entsprechenden Berechtigungen auswählen.

Überwachungseintragsnummer	Überwachungseinträge für	Zugriff	Anwenden auf
			Windows Server 2003	Windows Server 2008 und höher
1&2	DNS-Zonen	Erstellen von DNS-Zonen-Objekten Löschen von DNS-Zonen-Objekten	Dieses Objekt und alle untergeordneten Objekte	Dieses Objekt und alle Nachkommenobjekte
		Alle Eigenschaften schreiben Löschen Berechtigungen ändern	DNS-Zonenobjekte	Nachkommende DNS-Zonenobjekte
3&4	DNS-Knoten	Erstellen von DNS-Knoten-Objekten Löschen von DNS-Knoten-Objekten	Dieses Objekt und alle untergeordneten Objekte	Nachkommende DNS-Zonenobjekte
		Alle Eigenschaften schreiben Löschen Berechtigungen ändern	DNS-Knotenobjekte	Nachkommende DNS-Knotenobjekte

Hinweis: Wiederholen Sie die Schritte iii. und iv. für die verbleibenden 2 Standard-Namenskontexte.