Как я сказал ранее, включение контроля осуществляется через локальную или групповую политику безопасности. Для всякого контроля, кроме доступа к объекту, установка политики — это все, что нужно сделать. Затем система начинает помещать контролируемые события в журнал по мере их возникновения. (Включение контроля над объектами требует дополнительного действия, о чем я расскажу в следующем разделе.) Вначале нужно понять, как настраиваются политики контроля.
Если нужно контролировать все компьютеры в данном узле организации, домене или на всем сайте, следует включить аудит через групповую политику на нужном уровне. К примеру, требуется контролировать вход в систему учетной записи во всей организации. Можно включить соответствующую политику на уровне сайта или домена, если все компьютеры/пользователи являются членами одного домена. Чтобы контролировать вход в систему учетной записи только для определенной группы пользователей, поместите этих пользователей в организационном подразделении Active Directory, а затем включите политику контроля для входа в этом узле организации.
Поскольку эта книга направлена, в основном, на изучение Windows ХР, а не Windows 2000 Server или Windows Server 2003, я предполагаю, что аудит будет настраиваться на локальном уровне, а не через групповые политики.
Совет Если нужно настроить аудит через групповую политику, откройте консоль Пользователи и компьютеры Active Directory (Active Directory Users And Computers), затем - свойства для контейнера (организационного подразделения или домена) и создайте или измените объект групповой политики. В этом объекте найдите и включите настройки политики для того типа контроля, который нужно проводить.
Чтобы настроить аудит на локальном уровне, откройте консоль Локальная политика безопасности (Local Security) из папки Администрирование (Administrative Tools). Затем раскройте ветку Параметры безопасности\Локальные политики\По-литика аудита\ (\Security Settings\Local Policies\Audit Policy\).