在对活动目录的管理中，如果对活动目录的管理不是非常严格，我们有时就会发现一些对象被非法删除，比如计算机对象等。但当我们需要去查找原因的时候，发现没有记录，那么怎么才能在日志中有记录保存下来，以便我们管理员可以尽快的找到原因呢？这就需要我们使用审计功能来实现了：

1. 运行dsa.msc工具并找到域控制器组织单元，右键单击，选择属性，切换到组策略的标签页，选择Default Domain Controller Policy并编辑。
2. 在计算机配置\Windows设置\安全设置\本地策略\审核策略\审核目录服务访问，请确保该项目设置为审核成功和失败。

3. 打开命令行窗口，运行gpupdate /force。
4. 运行rsop.msc确保计算机配置\Windows设置\安全设置\本地策略\审核策略\审核目录服务访问这个设置已经生效。
5. 退出组策略编辑器，然后在这个域控制器上安装Disk:\Support\Tools6（该工具可以从Windows 2003的安装光盘中）。然后运行adsiedit.msc工具，选择要监控的组织单元。
7. 选择组织单元，右键单击，选择属性，切换到安全标签页，点击高级，然后切换到审核标签，点击“添加”，输入Everyone并点击确定，在出来的窗口中做以下选择：
a. 应用于：本对象以及全部子对象
b. 在成功这个列，选择对象，如勾选：删除、删除子树目录、删除所有子对象等项目。

c. 然后点击确定。
8. 当再次发现计算机对象出现问题时（如计算机对象被自动删除）以后，查看域控制器上的安全日志。

文章如转载，请注明转载自：http://www.5iadmin.com/post/276.html