系统访问控制列表(SACL)
“审核目录服务访问”设置用于确定是否对用户访问MicrosoftActive Directory对象的事件进行审核,该对象指定了自身SACL。
SACL 是用户和组的列表。对象上针对这些用户或组的操作将在基于 Microsoft Windows 2000–的网络上进行审核。如果定义了此策略设置,则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在用户成功访问指定了 SACL 的 Active Directory 对象时生成一个审核项。失败审核会在用户试图访问指定了 SACL 的 Active Directory 对象失败时生成一个审核项。启用“审核目录服务访问”并在目录对象上配置 SACL 可以在域控制器的安全日志中生成大量审核项,因此仅在确实要使用所创建的信息时才应启用这些设置。
请注意,可以通过使用 Active Directory 对象“属性”对话框中的“安全”选项卡,在该对象上设置 SACL。除了仅应用于 Active Directory 对象,而不应用于文件系统和注册表对象之外,它与审核对象访问类似。