Aktivierung der Überwachung von Active Directory

In Windows Server 2008 kann nicht nur der Objektzugriff, sondern auch die genaue Änderung (Vorher/Nachher) mitprotokolliert werden.
Standardmäßig wird aber nur der Verzeichnisdienstzugriff, nicht die Verzeichnisdienständerung protokolliert.

Der Befehl:

auditpol /set /subcategory:"directory service changes" /success:enable

Damit kann man es auf DC einschalten.

Anders als bei Objektzugriffen werden danach alle Änderungen angezeichnet, jedoch kann man das in den Objekteigenschaften (Security) anpassen.


http://technet.microsoft.com/de-de/magazine/2008.03.auditing.aspx