下面笔者将要针对每一位系统管理员最关心的域控制器（DC）的安全性审核管理，透过图形接口的组策略管理接口，来统一管理有关目录服务存取（DS 存取）的审核设定来作为范例说明。

首先请从“开始”“系统管理工具”选单中选择开启“组策略管理”接口，接下来如图2所示展开至“树系”“网域”“组策略对象”项目节点下，然后选择“Default Domain Controllers Policy”项目，并且切换到“设定”的页面中便可以看到有关于“本机原则/审核策略”的各项默认值。在此请针对此组策略对象项目，按下鼠标右键选择“编辑”继续。

注意：在预设的状态下，只有预设的域控制器原则有启用“审核目录服务存取”设定，另一个预设的网域原则（Default Domain Policy）并没有启用此设定。此外有关于对象的删除部分，除非有预先启用目录服务存取的子类别审核设定的启用，否则有关于此对象的异动事件是不会出现在事件查看器中的。

然后，将会开启“组策略编辑器”管理接口，请展开 至“计 算 机 设 定”“原则”“Windows设定”“安全性设定”“本机原则”项目节下的“审核策略”项目，在此我们可以依照实际需求，来决定对于每一个审核项目的成功与失败事件进行内容设定。

笔者以开启“审核目录服务存取”内容页面作为范例。成功审核会在使用者顺利存取指定了SACL（System Access Control List） 的Active Directory对象时，产生一个审核登录，失败审核则在使用者存取指定了SACL的Active Directory对象失败时，产生审核登录。若要将此值设为“没有审核”，请在此原则设定的“内容”对话框中，选取“定义这些原则设定值”复选框，再清除成功及失败复选框。

注意：您可以对Active Directory对象设定SACL，方法是使用该对象内容对话框中的“安全性”索引卷标，这和本文后面所要提到的“审核对象存取”相同，不同的是，它只套用到指定的Active Directory对象上面，而不套用到指定的文件系统和登录对象上。

接下来，我们要针对Active Directory下的对象“域控制器”计算机进行SACL的设定。请在从“开始系统管理工具”下开启“Active Directory用户和计算机”接口之后，先选择在“检视”下拉选单中的“进阶功能”继续，然后选择切换到“Domain Controllers”容器上，按下鼠标右键来选择开启“内容”并且切换到“安全性”页签中选择“进阶”按钮继续。

开 启 了“Domain Controllers”容器的进阶安全性设定的页面之后，切换到“审核”页签中，首先可以在此看到一些系统的默认项目设定，选择“新增”按钮继续，然后将会开启“选择用户、计算机或群组”的设定页面，将系统内建的“Authenticated Users”群组加入即可，最后选择“确定”。

接下来将会开启如图3所示的审核项目设定页面，首先，确认已经在下拉菜单中选取了“此对象及所有子系对象”项目，然后将“存取”清单窗格中的“写入全部内容”项目勾选之后选择“确定”按钮继续。

完成上述所有设定之后，下面建议您去开启域控制器计算机的内容页面，然后修改一些字段设定试试看。在此，笔者已经预先在一个域控制器计算机内容中的描述字段中加入了一些中文叙述（预设这个字段是空白的），完成设定之后请开启“系统管理工具”下拉菜单中的事件查看器界面。

在开启了事件查看器接口之后，您可以在“Windows记录安全性”项目节点上找到一笔最新的事件编号为5136的事件项目，开启之后将可以看到此事件记录的操作类型为新增的值，至于值的内容则是"高杰信公司主域控制器"的这一行文字叙述，在关键词的字段中则显示为审核成功。

下面笔者将要重新去变更此字段的内容叙述，然后再来看看在事件查看器中的审核事件记录会产生什么样的变化，首先将会先产生一个新的5136编号的审核事件，至于操作类型的值为删除的值，而被删除的值则为描述字段中的“高杰信公司主域控制器”。

如图4所示您会发现在同一时间内，有另一笔编号为5136的事件产生，而它的操作类型则为新增的值，其值的内容则是"主域控制器"。如此看来，事实上笔者所做的异动作业中只有将此域控制器计算机的描述字段中的文字叙述，从"高杰信公司主域控制器"修改为"主域控制器"而已，便可以由这两个事件项目中得知修改前后的差异点在哪里了。