Mit den erweiterten Protokollierungsmöglichkeiten in Windows Server 2008, werden nun die Werte in den Attributen,
vor- und nach dem verändern aufgezeichnet. Oder wenn ein Objekt innerhalb einer Domäne verschoben wird,
wird der Distinguished Name (DN) des alten sowie neuen Standorts vom Objekt protokolliert. Falls das Objekt in eine andere
Domäne verschoben werden sollte, wird auf dem Ziel-DC das erstellen eines Objekts protokolliert (sofern konfiguriert).
Das sind nur ein paar Beispiele, es gibt aber noch einige mehr.

Hinweis: Bei einer Kennwort-Änderung wird weder das alte, noch das neue Kennwort protokolliert!

Die neuen Protokollierungsmöglichkeiten, die der Windows Server 2008 mit sich bringt, werden durch die globale
Überwachungsrichtlinie (samt Unterkategorien), der System Access Control List (SACL) eines Objekts sowie durch
das Schema (genauer, durch das Attribut Search-Flags des jeweiligen Objekts) implementiert.

Die Änderungen die an einem Sicherheitsprinzipal (wie es z.B. ein Benutzer-Objekt darstellt) protokolliert werden,
wären: Das erstellen von Objekten, Änderungen, verschieben oder wiederherstellen von Objekten.
Die Informationen werden dabei im Sicherheitsprotokoll der DCs protokolliert.

Eine Objektänderung wird z.B. mit der Unterkategorie „Verzeichnisdienständerungen“ protokolliert.

Die Unterkategorien lassen sich mit folgendem Befehl anzeigen:
Auditpol /list /subcategory:DS-Zugriff


Möchte man sich die Unterkategorien mit den eingestellten Optionen anzeigen lassen,
so lässt sich dies, mit diesem Befehl herausfinden:
Auditpol /get /category:DS-Zugriff

Der folgende Befehl zeigt an, mit welcher Option eine Unterkategorie aktiviert ist:
Auditpol /get /subcategory:<Unterkategorie>

Die Unterkategorie Verzeichnisdienständerungen lässt sich mit der Option Erfolgreich, mit diesem Befehl aktivieren:
Auditpol /set /subcategory:Verzeichnisdienständerungen /success:enable

Soll hingegen neben den erfolgreichen, auch die fehlgeschlagenen Versuche einer Verzeichnisdienständerung
aufgezeichnet werden, so konfiguriert man das mit diesem Befehl:
Auditpol /set /subcategory:Verzeichnisdienständerungen /success:enable /failure:enable


Alle Unterkategorien lassen sich mit diesem Befehl zurücksetzen:
Auditpol /clear

Wird ein Objekt bearbeitet, so protokolliert die Ereignisanzeige die Event-ID 5136.
Beim erstellen eines Objekts, wird im Ereignisprotokoll die Event-ID 5137 verzeichnet.
Wenn ein Objekt wiederhergestellt wird, zeichnet das Ereignisprotokoll die Event-ID 5138 auf.
Das verschieben eines Objekts, wird die Event-ID 5139 protokolliert.

Möchte man z.B. den Standard-Container Users bezgl. Änderungen überwachen, so gilt es diese Punkte auszuführen:

1. 
   
   Zuerst ist die Unterkategorie Verzeichnisdienständerungen mit der gewünschten Option
   (erfolgreich und/oder fehlgeschlagen) auf allen DCs zu aktivieren.
   
   
2. 
   
   Oder wer möchte, aktiviert die globale Richtlinie Verzeichnisdienstzugriff überwachen in der Default Domain Controllers Richtlinie.
   
   
3. 
   
   In den Eigenschaften des Containers Users gilt es im Reiter Sicherheit die erweiterten Sicherheitseinstellungen
   aufzurufen. Dort angelangt, kann im Reiter Überwachung der zu überwachende Benutzer bzw. die Gruppe hinzugefügt
   und die zu überwachenden Einstellungen ausgewählt werden.
   
   
4. 
   
   Anschließend kann auf dem DC unter dem Punkt Windows-Protokolle, im Sicherheitsprotokoll der Ereignisanzeige,
   die Aufzeichnungen kontrolliert werden.
   
   
5. 
   
   In einer Umgebung mit mehreren DCs müsste man nun auf jedem einzelnen DC das Sicherheitsprotokoll überprüfen.
   Diese Arbeit kann man sich mit einem professionellen Werkzeug, wie es z.B. der  Microsoft Operations Manager – kurz MOM –
   darstellt, erleichtern. Sicherlich werden aber noch kostenlose Tools folgen bzw. bereits verfügbare Tools (EventComBMT)
   für den Windows Server 2008 aktualisiert und freigegeben.