locked
GPO的Event log問題 RRS feed

  • 問題

  • 請教, 當有人由 GPMC等方式修改或新增 GPO時, 是否可以由 Event Log或其他方式瞭解??!! 感謝!!
    2009年6月4日 上午 04:31

解答

  • 在Server2008上設定完後只要有修改GPO的話
    就會在Eventlog上面看到eventID是 4662 的項目,工作類別為"目錄服務存取"

    下面是我的做法..給你參考
    -----------------------------------------------------------------------------
    1.在Default Domain Controller Policy上面要開啟稽核"目錄服務存取"
    2.打開ADUC在domain名稱點右鍵->內容->安全性->進階->稽核 ,新增 everyone , 套用到"所有此物件及所有子物件",勾選 "建立 & 刪除groupPolicyContainer"
    3.相同動作再新增一個everyone,套用到"子系groupPolicyContainer物件",勾選"寫入全部內容" & "刪除"
    4.關閉所有視窗,並修改隨便一個GPO,去eventlog看->有記錄
    5.刪除一個GPO..也是有記錄
    • 已標示為解答 Vincent Lin 2009年6月8日 上午 06:10
    2009年6月5日 上午 07:20

所有回覆

  • 按造這篇的動作處理應該就可以透過EventLog裡面的安全性去觀察是不是有人去修改或是新增GPO
    不過沒有辦法去看到他修改的地方是哪裡喔

    Monitoring Group Policy Changes with Windows Auditing
    http://blogs.msdn.com/ericfitz/archive/2005/08/04/447951.aspx

    2009年6月5日 上午 03:10
  • 感謝你的指導, 但是, 這篇資料似乎無法針對 Server2008網域及DC進行處理 ??!!

    目前尚未找到適當的方式!!
    2009年6月5日 上午 06:59
  • 在Server2008上設定完後只要有修改GPO的話
    就會在Eventlog上面看到eventID是 4662 的項目,工作類別為"目錄服務存取"

    下面是我的做法..給你參考
    -----------------------------------------------------------------------------
    1.在Default Domain Controller Policy上面要開啟稽核"目錄服務存取"
    2.打開ADUC在domain名稱點右鍵->內容->安全性->進階->稽核 ,新增 everyone , 套用到"所有此物件及所有子物件",勾選 "建立 & 刪除groupPolicyContainer"
    3.相同動作再新增一個everyone,套用到"子系groupPolicyContainer物件",勾選"寫入全部內容" & "刪除"
    4.關閉所有視窗,並修改隨便一個GPO,去eventlog看->有記錄
    5.刪除一個GPO..也是有記錄
    • 已標示為解答 Vincent Lin 2009年6月8日 上午 06:10
    2009年6月5日 上午 07:20
  • 目前所瞭解的部份也是祇有 event ID 4662可以辨識, 雖然不是很好的作法, 但是, 目前也祇能這樣!!

    感謝指導!!
    2009年6月5日 上午 07:59
  • 內建的方式只能透過這樣
    外面有人提到可以透過MDOP裡面的 Advanced Group Policy Management去更進階的設定GPO的東西
    也可以使用更詳細的稽核動作
    不過MDOP這是要跟微軟簽屬SA(Software Assurance)才會有的

    Microsoft Desktop Optmization Pack
    http://www.microsoft.com/windows/enterprise/products/mdop.aspx

    2009年6月5日 上午 08:33