Verzeichnisdienstzugriff überwachen

Mit dieser Sicherheitseinstellung wird bestimmt, ob Benutzerzugriffe auf Active Directory-Objekte vom Betriebssystem überwacht werden. Eine Überwachung wird nur für Objekte generiert, für die eine SACL (System Access Control List, System-Zugriffssteuerungsliste) angegeben ist, und nur dann, wenn der angeforderte Zugriffstyp (beispielsweise Schreiben, Lesen oder Ändern) und das Konto, von dem die Anforderung stammt, den Einstellungen in der SACL entsprechen.

Der Administrator kann angeben, ob nur erfolgreiche bzw. nur fehlerhafte oder sowohl erfolgreiche als auch fehlerhafte Zugriffe oder grundsätzlich keine Zugriffe überwacht werden (d. h. weder erfolgreiche noch fehlerhafte Zugriffe).

Falls die Überwachung von erfolgreichen Zugriffen aktiviert ist, wird bei jedem erfolgreichen Zugriff von einem Konto auf ein Active Directory-Objekt, für das eine übereinstimmende SACL angegeben ist, ein Überwachungseintrag generiert.

Falls die Überwachung von fehlerhaften Zugriffen aktiviert ist, wird bei jedem nicht erfolgreichen Benutzerzugriff auf ein Active Directory-Objekt, für das eine übereinstimmende SACL angegeben ist, ein Überwachungseintrag generiert.

Standardwerte in Clienteditionen:

  • Verzeichnisdienstzugriff: Keine Überwachung
  • Verzeichnisdienständerungen: Keine Überwachung
  • Verzeichnisdienstreplikation: Keine Überwachung
  • Detaillierte Verzeichnisdienstreplikation: Keine Überwachung

Standardwerte in Servereditionen:

  • Verzeichnisdienstzugriff: Erfolg
  • Verzeichnisdienständerungen: Kein Überwachungsverzeichnis
  • Dienstreplikation: Keine Überwachung
  • Detaillierte Verzeichnisdienstreplikation: Keine Überwachung

Wichtig:
Um mehr Kontrolle über die Überwachungsrichtlinien zu erlangen, können Sie die Einstellungen im Knoten "Erweiterte Überwachungsrichtlinienkonfiguration" verwenden. Weitere Informationen zur erweiterten Überwachungsrichtlinienkonfiguration finden Sie unter https://go.microsoft.com/fwlink/?LinkId=140969.

Regsitry Key: n/a
Registry Value: n/a
Secedit: AuditDSAccess