您想了解如何配置组策略以审核对 Active Directory 的 LDAP 查询吗? 在本教程中,我们将向您展示如何使用 GPO 在域控制器上配置 LDAP 查询的监视。

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

设备列表

在这里,您可以找到用于创建本教程的设备列表。

此链接还将显示用于创建本教程的软件列表。

与 Windows 相关的教程:

在此页上,我们提供对与 Windows 相关的教程列表的快速访问。

教程 GPO – 监视活动目录上的 LDAP 查询

在域控制器上,打开组策略管理工具。

Windows - Group Policy management

创建新的组策略。

输入新组策略的名称。

Windows - Add GPO

在我们的示例中,新的 GPO 被命名为:MY-GPO。

在组策略管理屏幕上,展开名为”组策略对象”的文件夹。

右键单击新的组策略对象并选择”编辑”选项。

Windows - Edit GPO

在组策略编辑器屏幕上,展开”计算机配置”文件夹并找到以下项。

Copy to Clipboard

右键单击注册表选项并创建注册表条目。

GPO - Add registry item

在注册表屏幕上,执行以下配置。

Copy to Clipboard

单击”确定”按钮。

GPO - Monitor LDAP on Active Directory

创建第二个必需的注册表项。

Copy to Clipboard

单击”确定”按钮。

GPO - Expensive Search Results Threshold

创建第三个注册表项。

Copy to Clipboard

单击”确定”按钮。

GPO - Inefficient Search Results Threshold

创建第四个注册表项。

Copy to Clipboard

单击”确定”按钮。

GPO - Search Time Threshold

下面是配置摘要。

GPO - Audit LDAP events

若要保存组策略配置,需要关闭组策略编辑器。

祝贺! 您已完成 GPO 创建。

教程 GPO – 监视活动目录上的 LDAP 查询

在“组策略管理”屏幕上,将 GPO 链接到域控制器组织单位。

GPO - Link to domain controllers

在我们的示例中,我们将名为 MY-GPO 的组策略链接到域控制器。

GPO- tutorial linking

应用 GPO 后,您需要等待 10 或 20 分钟。

在此期间,GPO 将复制到其他域控制器。

在域控制器上,启动提升的 Powershell 命令行。

Windows 10 - powershell elevated

列出与 LDAP 查询相关的事件。

Copy to Clipboard

下面是命令输出。

Copy to Clipboard

从 LDAP 事件中获取详细信息。

Copy to Clipboard

下面是命令输出。

Copy to Clipboard

搜索特定的 LDAP 事件。

Copy to Clipboard

在我们的示例中,我们使用 GPO 启用了 LDAP 事件的审核。