Windows-Server-2008

如何更改活動目錄審計事件的最大值?

  • January 18, 2013

我們最近開始測試 ADAudit 工具並在 AD 中啟用了一些新的審計功能。

我在我編寫的自定義程序中有一個 LDAP 修改操作,用於更新 AD 中組的非常大的成員資格(10,000+)。由於審計更改,它看起來已經開始失敗。這是目錄服務事件日誌中的事件描述。

在記錄以下對象的審計事件時,目錄服務達到了在任何給定時間可以記憶體在記憶體中的最大審計事件數。由於達到此限制,操作被中止。

最大可記憶體審計事件數:17000

有誰知道如何更改此最大限制?我在任何地方都找不到有關它的資訊。

如果與您的問題唯一相關的搜尋結果是您剛剛提出的 Serverfault 問題,您就知道自己陷入了困境。

試試這個:

HKLM\System\CurrentControlSet\services\NTDS\Parameters\Maximum Audit Queue Size

您必須創建密鑰,因為它很可能不存在。它完全沒有被 Microsoft 記錄(公開),因此很可能不受支持。我知道目錄服務檢查該密鑰是否存在的唯一原因是因為我執行了 Procmon 並重新啟動了 AD DS 以查看它搜尋的 reg 密鑰。

我沒有對其進行測試,也沒有像您那樣瘋狂的 Active Directory 來測試它,但我懷疑您在不聯繫 Microsoft 支持的情況下會得到更好的答案。

大多數其他鍵似乎都是 DWORDS,所以我將從它開始。

lsass.exe 在 AD DS 啟動期間使用函式RegQueryValueExA搜尋它。不幸的是,我看不到傳遞給函式的參數,所以我無法準確告訴您它需要什麼類型的系統資料庫項。你只需要測試。

引用自:https://serverfault.com/questions/470428