收集审核数据所需要的权限

为了使ADAP能够顺利地从域控制器收集审核数据。需要在域设置的页面提供具有以下权限的用户凭据。

对于Windows 2003 域控制器

1. 提供属于域管理员（DomainAdmins）的用户凭据。(或者)

2. 提供可以对事件日志（安全日志）进行读取操作权限的用户

3. 若要审核 DNS，该用户还必须是'DNSAdmins'组的成员。

对于Windows 2008及以上的域控制器

1. 提供属于域管理员（DomainAdmins）的用户凭据。并且该用户还要具备

2. 附加的 DCOM 和 WMI 权限

(或者)

1. 提供可以对事件日志（安全日志）进行读取操作权限的用户 并且该用户还必须具有

2. 附加的 DCOM 和 WMI 权限。

3. 若要审核 DNS，该用户还必须是'DNSAdmins'组的成员。

如何为用户提供事件日志的读取权限。

1. 以管理员登录到域控制器。

2. 点击 "开始 -->>所有程序 -->>管理工具 -->>域安全策略 （或默认域策略 - Default Domain policy）（也可以从组策略编辑器中编辑默认域策略来进入相应的画面）

3. 导航到 安全设置 -->>本地策略 -->>用户权限分配 -->>管理审核和安全日志

4. 点击 "添加用户/组" 然后添加相应的用户。

为用户提供事件日志的读取权限

如何为用户提供 DCOM 和WMI 权限:

这些权限只对Windows 2008（及以上）的域控制器需要。

1. 提供 DCOM 权限

2. 提供 WMI 权限

要提供 DCOM 权限:

1. 以管理员登录到域控制器。

2. 运行 dcomcnfg("开始 -->> 运行" -->> 输入 dcomcnfg）

3. 打开组件服务的窗口。

1. 点击 组件服务 -->> 计算机-->> 我的计算机

2. 右击 "我的计算机" ，选择 "属性"

3. 转到 "COM 安全"页签

4. 点击"启动和激活权限"的"编辑限制"按钮

5. 在安全限制中，点击添加，添加相应的用户（你想要赋予权限的用户）。

6. 为其提供 "本地启动" 、"远程启动"、 "本地激活"、 "远程激活"的允许权限

为用户提供DCOM 权限

要提供WMI权限:

1. 以管理员登录到域控制器。

2. 运行 wmimgmt.msc ("开始 -->> 运行" -->> 输入 wmimgmt.msc）

3. 右击WMI控件（本地），选择属性，打开控件属性对话框

1. 点击 "安全" 页签

2. 展开节点，点击 "CIMV2" 节点

3. 选择 "安全"节点，点击"安全设置"

4. 在设置对话框中，添加要赋予权限的用户，选择"执行方法"，赋予其"允许"的权限。

4. 另外，要确保该用户对该域控制器的根目录（如：C:\WINDOWS\system32）具有"读取和执行"权限。

为用户提供WMI权限