Windows Server 2008 ile birlikte değişen bir özellik ise auditing işlemlerinde gerçekleşti. Windows Server 2003’ te objelerle ilgili bir işlem gerçekleştirildiğinde sadece değişiklikler loglanmaktaydı. Windows Server 2008’ de ise yapılan objelerlerin önceki ve sonraki değişiklikleri loglanabilmektedir. Windows Server 2000 ve 2003’ te bir audit policy bulunmakla beraber Windows Server 2008’de bu policy Directory ServiceAccess, Directory Service Changes, Directory Service Replication, Detailed Directory Service Replication olarak 4 alt kategoriye ayrılmaktadır.
Directory Services Access özelliği aktif hale getirildiğinde diğer alt kategorilerde etkinleştirilmiş olmaktadır. Directory Services Access’i etkinleştirmek için Group Policy Management Editor > Computer Configuration > Security Settings > Local Policies > Audit Policy > Directory Services Access enable olarak işaretlenmeli ve hangi eventlerin loglanıcağı belirtilmelidir.
Şekil-1
Directory Services Changes ile yapılan değişikliklerin eski ve yeni değerleri loglanabilmektedir. Directory Services Access disable edilse bile Directory Services Changes loglamaya devam etmektedir.
Directory Services Changes’ i aktif hale getirebilmek için “auditpol /set /subcategory:”directory service changes” /success:enable” komutunu çalıştırmanız gerekmektedir.
Şekil-2
Alt kategorileri görüntülemek için auditpol /list /subcategory:”Ds Access” komutunu çalıştırabilirsiniz.
Şekil-3
Objeler üzerinde Auditing yapabilmek için Properties > Security > Advanced > Auditing > Add komutunu kullanarak auditing yapmak istediğiniz kullanıcıları belirleyip istediğiniz izni verebilirsiniz.
Şekil-4
Şekil-5
Kullanıcının adınını değiştirdiğimizde oluşucak Event aşağıdaki şekildeki gibi olacaktır.
Şekil-6
Şekil-7
Ayrıca hangi audit policy’lerin aktif olduğunu görebilmek için auditpol /get /category:* komutu kullanılabilir.
Şekil-8
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
AD DS Auditing Step-by-Step Guide