如何最大限度地更改活动DIrectory审核事件？

Question

我们最近开始测试ADAudit工具，并在AD中启用了一些新的审计功能。

我在我编写的自定义程序中有一个LDAP修改操作，该程序为AD中的组(10,000+)更新了非常大的成员资格。看起来，由于审计更改，它已经开始失败了。这是目录服务事件日志中的事件描述。

在记录下列对象的审核事件时，目录服务达到可以在任何给定时间缓存在内存中的最大审计事件数。由于达到了这一限制，这项行动被中止。可以缓存的最大审计事件数: 17000

有人知道如何改变这个上限吗？我在任何地方都找不到关于它的任何信息。

Answer 1

您知道，如果与您的问题相关的唯一搜索结果是您刚才问到的服务器故障问题，您就陷入了困境。

试试看：

HKLM\System\CurrentControlSet\services\NTDS\Parameters\Maximum Audit Queue Size

您必须创建密钥，因为它很可能不存在。它是完全没有文档的(公开的)由微软，因此很可能不支持。我知道Directory检查该键是否存在的唯一原因是，我运行Procmon并重新启动AD DS，以查看它搜索哪些reg键。

我还没有对其进行测试，也没有像您这样疯狂的Active Directory对其进行测试，但我怀疑如果不与Microsoft支持部门联系，您将得到更好的答案。

大部分的其他钥匙似乎都是DWORDS，所以我会从这个开始。

lsass.exe在AD启动时使用函数RegQueryValueExA搜索它。不幸的是，我无法看到传递给函数的参数，所以我无法确切地告诉您它需要的是哪种类型的注册表项。你只需要测试一下。