Это правило создает отчет для просмотра событий изменения учетных записей. Данный отчет называется "Изменения учетных записей Active Directory".
Назначение этого правила — разрешить создание отчета об изменениях учетных записей и при этом отключить предупреждения, уведомляющие о его создании. Это может помочь уменьшить шум, создаваемый пакетом управления Active Directory.
Чтобы прекратить создание этого отчета, отключите правило "Создать отчет об изменениях учетных записей".
Чтобы отчет создавался, но предупреждения были отключены, включите правило "Создать отчет об изменениях учетных записей" и отключите правило "Создать отчет и предупреждение об изменениях учетных записей".
Target | Microsoft.Windows.Server.2012.AD.DomainControllerRole |
Category | EventCollection |
Enabled | False |
Event Source | Microsoft-Windows-Directory-Services-SAM |
Alert Generate | False |
Remotable | True |
Event Log | System |
Comment | Mom2005ID='{480437A8-1322-4B62-8A66-EBA9AF6C31D8}';MOM2005GroupID= |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
CollectEventData | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
CollectEventDataWarehouse | WriteAction | Microsoft.SystemCenter.DataWarehouse.PublishEventData | Default |
<Rule ID="Account_Changes_Report_Creation_Only_Rule" Comment="Mom2005ID='{480437A8-1322-4B62-8A66-EBA9AF6C31D8}';MOM2005GroupID=" Enabled="false" Target="AD2012Core!Microsoft.Windows.Server.2012.AD.DomainControllerRole" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005BooleanRegularExpression</Operator>
<Pattern>^(12292|12293|12298|12303|12304|16384|16385|16386|16387|16388|16389|16390|16391|16392|16393|16394|16395|16396|16397|16398|16399|16400|16401|16402|16403|16404|16405|16406|16407)$</Pattern>
</RegExExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>Microsoft-Windows-Directory-Services-SAM</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="CollectEventData" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="CollectEventDataWarehouse" TypeID="SCDW!Microsoft.SystemCenter.DataWarehouse.PublishEventData"/>
</WriteActions>
</Rule>