【IT168 专稿】在Windows Server 2008中，活动目录域服务（Active Directory Domain Services缩写AD DS）相比前一代操作系统又有了重大的提升和改进，本文简要介绍一下其新特性。

一、审核策略

    在Windows Server 2008中，你现在能够通过使用新的审核策略的子类（目录服务更改）来建立AD DS审核策略。当活动目录对象及它们的属性发生变化时，新的审核策略可以记录新旧属性值。

    AD DS审核能干什么？

    我们定义本策略设置（通过修改默认域控制器策略），能够指定审核成功的事件，失败的事件，或者什么也不审核。能够在AD DS对象的属性对话框中的安全选项卡中设置系统访问控制列表。”审核目录服务访问“在应用上同审核对象访问一致。但只适用与AD DS对象上而不是文件对象或注册表对象。

    审核AD DS访问

    在AD DS中新的审核策略子类（目录服务更改）增加了以下的功能：

    • 当对对像的属性修改成功时，AD DS会纪录先前的属性值以及现在的属性值。如果属性含有一个以上的值时，只有作为修改操作结果变化的值才会被记录。
    • 如果新的对像被创建，属性被赋予的时间将会被记录，属性值也会被记录，在多数情景中，AD DS分配缺省属性给诸如sAMAccountName等系统属性，这些系统属性值将不被记录。
    • 如果一个对像被移动到同一个域中，那么先前的以及新的位置（以distinguished name 形式）将被记录。当对象被移动到不同域时，一个创建事件将会在目标域的域控制器上生成。
    • 如果一个对象被反删除，那么这个对象被移动到的位置将会被记录。另外如果在反删除操作中属性被增加，修改或者删除，那么这些属性的值也会被记录。
 
    当"目录服务更改"审核子类别启用以后，AD DS会在安全日志中记录事件当对象属相的变化满足管理员指定的审核条件。下面的这张表格描述了这些事件。

    事件号 事件类型 事件描述

    5136 修改 这个事件产生于成功的修改目录对象属性。
    5137 创建 这个事件产生于新的目录对象被创建。
    5138 反删除 这个事件产生于目录对象被反删除时。
    5139 移动 这个时间产生于对象在同一域内移动时。