在多域设置中,我希望在中心位置收集安全文件访问审计事件。
在ActiveDirectory中,可以通过创建GPO在域控制器上启用文件访问审计。此外,在不同的"文件服务器"计算机上,它是其中一个域的成员,必须在我想要审计的文件系统对象(并且包含在网络共享中)上配置SACL。
一旦这样做了,文件访问事件被记录下来,并以某种方式神奇地转移到域控制器的事件日志。
我真的很想知道:
- 这些事件是如何以及何时转移的?是换乘吗?加密?
- 是否有可能直接选择这些事件的另一个(额外)接收者,除了域控制器?我知道以后可以转发这些日志事件,但是它们是否在默认情况下转发到域控制器?是否配置了隐式转发?
- 相对于网络负载,将产生多少流量?
第一件事域控制器是服务器有活动目录(一种组织数据库)。活动目录将连接到域的每个组件/资源标识为对象,无论是逻辑(用户)还是物理(计算机和打印机)。该对象具有称为Schema的属性。此模式已在称为GC(全局目录)的存储库中编目,但是GC只有部分信息,因此可以定位资源。现在说到政策。有两件事GPO和OU。GPO是一组策略,可以应用于OU或更高级别的分组单元。让我们看看交流是如何发生的。同样,有两个广泛使用的术语1。复制和2。LDAP查询。
在控制器之间进行复制,这样可以减少网络流量,并为连接到服务器的资源提供更高的可用性。在复制过程中,所有的资源信息已经与服务器同步。为了确保安全完整性,有证书(它提供标识和加密机制)和委托(提供权限)。
LDAP是用户通过的认证协议。因此,LDAP具有与其他查询语言非常相似的查询。所有这些查询最终都被记录到服务器。
GPO已经在资源上复制或者可以强制申请。如果你想马上做的话