Аудит в отношении объектов Active Directory осуществляется так же, как и аудит других объектов операционной системы. Полученная в результате информация просматривается с помощью оснастки.
Просмотр событий (Event Viewer). Активизируется аудит с помощью оснастки
Групповая политика (Group Policy) (см. главу 27).
Информация, полученная в результате аудита, позволяет диагностировать потенциальные бреши в системе безопасности и разрешать возникающие проблемы. При настройке аудита нужно определить, какие объекты должны быть отслежены и какие связанные с ними события следует фиксировать в журнале.
При аудите объектов Active Directory информация заносится в журнал событий каждый раз, когда происходит отслеживаемое событие. Данные журнала позволяют определить, какое действие было выполнено, кто его выполнил, дату и время возникновения события и успех или неудачу его завершения.
Аудит объектов Active Directory отличается от локальной политики аудита. Последняя является частью политики безопасности компьютера и позволяет отслеживать только локальные события. С другой стороны, аудит объектов Active Directory позволяет отслеживать события, связанные с изменением свойств объектов, а также с попытками получения доступа к ним, модификации или удаления объектов в масштабах всего каталога Active Directory. Активизация и настройки аудита родительского объекта наследуются всеми дочерними объектами Active Directory. Однако гибкая система, регулирующая степень распространения конкретных настроек, позволяет конфигурировать аудит для одного объекта, для родительского объекта и всех дочерних объектов, только для дочерних объектов или для конкретного дочернего объекта.